Chainguard réduit considérablement le risque d'attaque de la chaîne d'approvisionnement en reconstruisant chaque bibliothèque à partir d'un code source vérifié dans un environnement inviolable, empêchant ainsi l'injection de codes malveillants aux stades de la construction et de la distribution. Lors de tests effectués sur 3 025 paquets Python malveillants connus de la Backstabber's Knife Collection, l'approche de reconstruction à partir du code source de Chainguard a permis d'empêcher 98 % de ces paquets compromis d'atteindre les utilisateurs.

Les attaquants compromettent souvent les systèmes de construction où les paquets sont compilés (en injectant du code malveillant avant la publication, comme la porte dérobée XZ-Utils) ou détournent la distribution en volant les informations d'identification des développeurs pour télécharger des versions malveillantes dans des registres tels que npm, PyPI ou Maven Central. Comme la confiance est souvent supposée mais jamais vérifiée dans les registres publics, ces attaques se propagent rapidement par le biais de mises à jour automatisées des dépendances avant d'être détectées.

"Construite à partir des sources" signifie que Chainguard reconstruit chaque bibliothèque à partir de son dépôt de code source original plutôt que de télécharger des artefacts précompilés à partir de registres publics. Cela crée une chaîne de contrôle fiable et vérifiable et élimine le risque de consommer des paquets qui ont été altérés pendant la construction ou le téléchargement. Chaque bibliothèque est livrée avec une provenance complète prouvant exactement comment, quand et où elle a été créée.

Chainguard Libraries supporte actuellement JavaScript (npm), Java (Maven), et Python (PyPI), couvrant des centaines de milliers de versions de bibliothèques populaires dans chaque écosystème. D'autres écosystèmes linguistiques sont envisagés en fonction de la demande des clients.

Chainguard Libraries s'intègre avec les gestionnaires d'artefacts courants tels que JFrog Artifactory, Sonatype Nexus Repository et Cloudsmith. Une fois configuré en tant que source amont, les développeurs tirent des dépendances de confiance à travers vos outils existants automatiquement, sans modification de vos flux de travail.

Chaque bibliothèque Chainguard est livrée avec des signatures Sigstore (preuve cryptographique d'authenticité), un SBOM signé (inventaire complet des composants) et une provenance SLSA de niveau 2 (attestation documentant comment et où elle a été construite). Ces attestations vous permettent de vérifier l'origine et l'intégrité de chaque paquet, garantissant qu'aucune altération n'a eu lieu entre le code source et le déploiement.

Non. Les bibliothèques apparaissent comme un autre dépôt en amont (tout comme PyPI, npm, Maven Central, NuGet), de sorte que les développeurs peuvent utiliser les bibliothèques Chainguard sans aucun changement opérationnel. Cela signifie que vos builds et environnements fonctionnent de la même manière qu'auparavant, mais avec des paquets signés et vérifiés. Aucun nouvel outil n'est nécessaire.

Chainguard rétroporte en amont les correctifs pour les CVEs critiques et de haute sévérité dans les bibliothèques Python les plus populaires et les plus demandées. Cela vous permet de rester protégé pendant que vous planifiez votre prochaine mise à jour, en éliminant la pression de migrer immédiatement vers la dernière version juste pour résoudre les problèmes de sécurité.

Oui. Les librairies Chainguard peuvent être utilisées de manière autonome dans n'importe quel environnement (machines de développement, pipelines CI/CD, ou production) où votre code est développé et déployé. Cependant, la combinaison des bibliothèques avec les conteneurs ou les machines virtuelles Chainguard offre une protection complète sur l'ensemble de votre pile, de l'OS aux dépendances de l'application.

FIPS est offert avec les Conteneurs Chainguard (et les variantes renforcées associées), pas comme une fonctionnalité des Bibliothèques Chainguard. Utilisez les bibliothèques pour les dépendances sécurisées et associez-les à des conteneurs/VMs FIPS lorsque la cryptographie validée FIPS est requise.