Bibliothèques de langage
construites à partir des sources

Une bibliothèque résistante aux logiciels malveillants est une dépendance logicielle reconstruite à partir d'un code source vérifié dans un environnement de construction sécurisé et inviolable. Les bibliothèques Chainguard, par exemple, bloquent de manière proactive les logiciels malveillants et les menaces de la chaîne d'approvisionnement avant qu'ils ne pénètrent dans votre environnement, car seuls les paquets dont les sources sont vérifiées et constructibles sont inclus - les binaires malveillants ou altérés n'y parviennent jamais. Les bibliothèques construites de cette manière peuvent réduire les logiciels malveillants de 98 % par rapport aux paquets téléchargés à partir d'un registre public. Nous construisons les bibliothèques Chainguard dans une infrastructure SLSA de niveau 2, fournissant une provenance complète et des nomenclatures logicielles (SBOM), afin d'atténuer les attaques de la chaîne d'approvisionnement aux stades de la construction et de la distribution, où les attaquants injectent généralement des logiciels malveillants.

Chainguard réduit considérablement le risque d'attaque de la chaîne d'approvisionnement en reconstruisant chaque bibliothèque à partir d'un code source vérifié dans un environnement inviolable, empêchant ainsi l'injection de codes malveillants aux stades de la construction et de la distribution. Lors de tests effectués sur 3 025 paquets Python malveillants connus de la Backstabber's Knife Collection, l'approche de reconstruction à partir du code source de Chainguard a permis d'empêcher 98 % de ces paquets compromis d'atteindre les utilisateurs.

Les attaquants compromettent souvent les systèmes de construction où les paquets sont compilés (en injectant du code malveillant avant la publication, comme la porte dérobée XZ-Utils) ou détournent la distribution en volant les informations d'identification des développeurs pour télécharger des versions malveillantes dans des registres tels que npm, PyPI ou Maven Central. Comme la confiance est souvent supposée mais jamais vérifiée dans les registres publics, ces attaques se propagent rapidement par le biais de mises à jour automatisées des dépendances avant d'être détectées.

"Construite à partir des sources" signifie que Chainguard reconstruit chaque bibliothèque à partir de son dépôt de code source original plutôt que de télécharger des artefacts précompilés à partir de registres publics. Cela crée une chaîne de contrôle fiable et vérifiable et élimine le risque de consommer des paquets qui ont été altérés pendant la construction ou le téléchargement. Chaque bibliothèque est livrée avec une provenance complète prouvant exactement comment, quand et où elle a été créée.

Chainguard Libraries supporte actuellement JavaScript (npm), Java (Maven), et Python (PyPI), couvrant des centaines de milliers de versions de bibliothèques populaires dans chaque écosystème. D'autres écosystèmes linguistiques sont envisagés en fonction de la demande des clients.

Chainguard Libraries s'intègre avec les gestionnaires d'artefacts courants tels que JFrog Artifactory, Sonatype Nexus Repository et Cloudsmith. Une fois configuré en tant que source amont, les développeurs tirent des dépendances de confiance à travers vos outils existants automatiquement, sans modification de vos flux de travail.

Chaque bibliothèque Chainguard est livrée avec des signatures Sigstore (preuve cryptographique d'authenticité), un SBOM signé (inventaire complet des composants) et une provenance SLSA de niveau 2 (attestation documentant comment et où elle a été construite). Ces attestations vous permettent de vérifier l'origine et l'intégrité de chaque paquet, garantissant qu'aucune altération n'a eu lieu entre le code source et le déploiement.

Non. Les bibliothèques apparaissent comme un autre dépôt en amont (tout comme PyPI, npm, Maven Central, NuGet), de sorte que les développeurs peuvent utiliser les bibliothèques Chainguard sans aucun changement opérationnel. Cela signifie que vos builds et environnements fonctionnent de la même manière qu'auparavant, mais avec des paquets signés et vérifiés. Aucun nouvel outil n'est nécessaire.

Chainguard rétroporte en amont les correctifs pour les CVEs critiques et de haute sévérité dans les bibliothèques Python les plus populaires et les plus demandées. Cela vous permet de rester protégé pendant que vous planifiez votre prochaine mise à jour, en éliminant la pression de migrer immédiatement vers la dernière version juste pour résoudre les problèmes de sécurité.

Oui. Les librairies Chainguard peuvent être utilisées de manière autonome dans n'importe quel environnement (machines de développement, pipelines CI/CD, ou production) où votre code est développé et déployé. Cependant, la combinaison des bibliothèques avec les conteneurs ou les machines virtuelles Chainguard offre une protection complète sur l'ensemble de votre pile, de l'OS aux dépendances de l'application.

FIPS est offert avec les Conteneurs Chainguard (et les variantes renforcées associées), pas comme une fonctionnalité des Bibliothèques Chainguard. Utilisez les bibliothèques pour les dépendances sécurisées et associez-les à des conteneurs/VMs FIPS lorsque la cryptographie validée FIPS est requise.

SLSA (Supply-chain Levels for Software Artifacts) Level 2 est un cadre normalisé qui exige que les constructions soient effectuées sur une infrastructure renforcée avec génération automatisée de la provenance. Cela garantit que les paquets sont construits dans un environnement inviolable et vérifiable. Pour les bibliothèques, cela signifie que vous obtenez la preuve cryptographique que chaque paquet a été construit à partir d'un code source vérifié sans compromis, ce qui empêche les attaques de la chaîne d'approvisionnement aux stades de la construction et de la distribution, où les attaquants injectent souvent du code malveillant.