Hardened Container Images

"Zéro CVE" signifie qu'il n'y a pas de CVE connus au moment de la publication. La conception minimale de Chainguard et ses reconstructions continues maintiennent le nombre de CVE à un niveau bas, et les nouveaux avis sont remédiés dans le cadre d'un accord de niveau de service (SLA), ce qui vous permet d'avancer vers des résumés propres.

FIPS 140-3 : modules cryptographiques validés par le programme de validation des modules cryptographiques du NIST, requis dans de nombreux environnements réglementés (par exemple, FedRAMP, DoD Impact Levels, etc.).

STIG : Security Technical Implementation Guides (guides de mise en œuvre technique de la sécurité). Il s'agit des lignes de base de renforcement de la DISA que nous appliquons au niveau du système d'exploitation.

Utilisez des images validées par le FIPS et des hôtes renforcés par le STIG lorsque votre autorisation d'exploitation, votre contrat ou votre politique interne l'exige.

Chainguard accélère la certification et simplifie la conformité continue avec des conteneurs minimaux, zéro-CVE. Nos images sont livrées avec la cryptographie FIPS, les STIG au niveau de l'OS, et les SBOM complets, avec un SLA de premier ordre pour la remédiation CVE - ces caractéristiques aident à satisfaire de nombreux contrôles requis par ces cadres de conformité.

Chaque image Chainguard est livrée avec des signatures Sigstore, un SBOM signé et une provenance SLSA L2. Les auditeurs ou les pipelines d'intégration continue automatisés peuvent vérifier l'authenticité et construire la provenance en utilisant Cosign/Sigstore.

Des variantes de conteneurs validées FIPS sont disponibles et doivent être utilisées dans les environnements où une cryptographie validée est requise.

Les hôtes renforcés STIG (Chainguard VMs) sont disponibles et doivent être utilisés dans les environnements où les lignes de base de renforcement DISA sont obligatoires.

En moyenne, les images Chainguard montrent ~97,6% de vulnérabilités en moins que les alternatives typiques, et ~80% d'accumulation de CVE en moins au fil du temps.

Chainguard Factory suit les changements en amont, déclenche des reconstructions propres, puis publie de nouvelles images avec des SBOM et des provenances mis à jour, et livre sous SLA. Vous promouvez les nouvelles images par le biais de votre CI/CD habituel.

Les artefacts Chainguard sont des images OCI standard qui incluent des signatures, des SBOM et des documents de provenance. La vérification Cosign/Sigstore fonctionne dans tout environnement où vos racines de confiance sont accessibles. Pour les environnements entièrement protégés, les détails spécifiques de la mise en œuvre dépendent de la configuration de votre registre et de la configuration de la confiance Sigstore.

Chainguard vous permet de vérifier l'intégrité de bout en bout en fournissant des images de conteneurs, des bibliothèques et des VM qui sont continuellement reconstruites à partir de la source et livrées avec des signatures Sigstore, des SBOM signés et une provenance SLSA de niveau 2, ce qui vous donne une preuve infalsifiable que ce que vous déployez est exactement ce qui a été construit en toute sécurité.