Chainguard vs. Docker Hardened Images

Oui. L'assemblage personnalisé vous permet d'ajouter des paquets et des certificats à n'importe quelle image (plus de 30 000 paquets disponibles). Les images assemblées sur mesure restent couvertes par le SLA de Chainguard pour la remédiation des CVE lorsqu'elles utilisent des paquets provenant d'images autorisées (les paquets Wolfi OSS non soutenus par une image payante ne sont pas couverts par le SLA, et l'engagement FIPS ne s'applique pas aux images assemblées sur mesure).

Oui. Le SLA contractuel garantit les CVEs critiques dans les 7 jours et les CVEs élevés/moyens/faibles dans les 14 jours. Voici le temps de remédiation moyen de Chainguard dans la pratique, ventilé par gravité de CVE (d'après The State of Trusted Open Source : December 2025) :

• CVEs critiques : Moyenne inférieure à 20 heures (63,5 % dans les 24 heures, 97,6 % dans les 2 jours, 100 % dans les 3 jours)

• CVEs élevés : 2,05 jours en moyenne

• CVEs moyens : 2,5 jours en moyenne

• CVEs faibles : 3,05 jours en moyenne

Chainguard holds its own CMVP certificates for the Chainguard FIPS Provider for OpenSSL. The implementation is kernel-independent and containers run in FIPS mode without requiring a FIPS-enabled host OS. Docker's FIPS variants require the Enterprise tier and use a third-party CMVP (OpenSSL), which may require additional due diligence to verify rebrand compliance during audits.

Chainguard Libraries fournit des reconstructions résistantes aux logiciels malveillants de paquets Python, Java et JavaScript qui sont construits à partir des sources avec des SBOM signés et une provenance SLSA L2. Les bibliothèques se branchent directement sur PyPI, npm et Maven sans aucune modification du flux de travail. Chainguard propose également des cartes Helm et des images VM de première partie pour les hôtes de conteneurs sécurisés.

Chainguard compile chaque paquetage directement à partir du code source sur Chainguard OS plutôt que de ré-emballer des binaires pré-compilés de Debian ou Alpine. Cela élimine le risque d'attaques de la chaîne d'approvisionnement injectées dans les binaires distribués (par exemple, la porte dérobée 2024 xz-utils) et donne à Chainguard un contrôle total sur les délais d'application des correctifs, indépendamment des cycles de publication des distro en amont.

Chaque image est reconstruite chaque nuit. Lorsqu'une nouvelle vulnérabilité est révélée, le système de construction automatisé reconstruit les paquets affectés à partir des sources et déclenche des reconstructions en cascade de toutes les images dépendantes. Parce que Chainguard contrôle son propre système d'exploitation et son propre pipeline de construction, il peut corriger les vulnérabilités indépendamment de toute distro en amont.

Les deux fournisseurs proposent des SBOM, des signatures Sigstore et des attestations de provenance SLSA Build Level 3. Chainguard construit chaque paquet à partir des sources sur son propre système d'exploitation (Wolfi/Chainguard OS). Docker Hardened Images construit certains paquets à partir de la source tout en incorporant d'autres paquets provenant d'archives préconstruites, ce qui donne lieu à des définitions de construction incohérentes qui limitent la transparence de la chaîne d'approvisionnement.