Construire l'avenir sécurisé par défaut de l'open source
Chainguard construit et maintient une chaîne d'outils ouverte pour la livraison de logiciels sécurisés, contribue aux correctifs en amont et dirige des projets critiques à travers l'écosystème cloud-native. Nous contribuons parce que c'est la bonne chose à faire - pas pour compter les points, mais pour rendre l'ensemble de l'écosystème plus sûr pour tout le monde.
100+
Projets activement maintenus et auxquels on a contribué.
18+
Postes de direction au sein de fondations OSS essentielles.
Automatisé
Bots surveillant en amont les nouvelles versions de sécurité.
En amont d'abord
Corriger avant que les scanners ne détectent les vulnérabilités.
NOS OUTILS OPEN SOURCE
Les outils que nous construisons et maintenons
Infrastructure essentielle pour la fourniture de logiciels sécurisés par défaut.
Wolfi
Une (un)distribution Linux communautaire conçue pour les conteneurs et les charges de travail cloud-natives. Construite avec la sécurité comme préoccupation de premier ordre, fournissant une provenance complète et un support SBOM dès le départ.
Octo-STS
Échange de jetons OIDC pour les actions GitHub permettant une authentification sécurisée et sans clé pour les flux de travail CI/CD. Comble le fossé entre les actions GitHub et les fournisseurs d'identité externes.
gitsign
Facilite la signature des commits et des tags dans les environnements de CI. En s'appuyant sur la signature sans clé de Sigstore, il apporte une vérification cryptographique à votre historique Git sans charge de gestion des clés.
digestabot
Maintient les résumés d'images à jour grâce à des PR automatisés. Prévient les attaques de la chaîne d'approvisionnement en s'assurant que les déploiements font référence à des versions d'images vérifiées.
dfc (convertisseur de fichiers Docker)
Aide les équipes à passer des fichiers Docker traditionnels à des configurations apko et melange déclaratives et reproductibles. Cette aide à la migration accélère le chemin vers des constructions de conteneurs plus sûres et plus faciles à maintenir.
Fournisseur Terraform
Construisez, signez, attestez, testez et publiez des images de conteneurs entièrement en tant que code d'infrastructure. Pas d'étapes manuelles, pas de dérive, juste des constructions reproductibles.
Règles de Bazel_apko
Règles Bazel pour la construction d'images hermétiques avec des dépendances verrouillées. Intègre la création de conteneurs sécurisés de manière transparente dans les flux de travail de Bazel.
apko
Constructeur d'images OCI déclaratif qui produit des images de conteneurs minimales et reproductibles avec des attestations et des SBOM. Élimine la complexité des constructions traditionnelles de fichiers Docker.
mélange
Système d'empaquetage APK déclaratif avec support multi-architecture, linters intégrés et capacités de signature. Permet une distribution moderne et sécurisée des logiciels, de la source à l'emballage.
CONTRIBUTIONS DE LA COMMUNAUTÉ
Projets open source auxquels nous contribuons
Les membres de l'équipe Chainguard créent, maintiennent et dirigent certains des projets open source les plus utilisés.
Kubernetes
Sigstore
SLSA
Tekton
Knative
Cosign
Rekor
gitsign
Wolfi
Trino
ADHÉSION À UNE FONDATION
Participation active à l'ensemble de l'écosystème
Nous soutenons et participons aux organisations qui façonnent l'avenir de l'open source.
Linux Foundation
CNCF
OpenSSF
OCI
Continuous Delivery Foundation
COMMENT NOUS CONTRIBUONS
Philosophie de l'amont
Nous ne nous contentons pas de construire sur l'open source, nous l'améliorons pour tout le monde
Une approche en amont
Nous apportons régulièrement des corrections de bogues et des fonctionnalités en amont sur l'ensemble de la pile, du renforcement au niveau du noyau à la sécurité des applications. Pas de correctifs à long terme en aval, mais des contributions qui profitent à l'ensemble de l'écosystème. Nous sommes l'un des 100 premiers contributeurs aux projets de la CNCF.
Origine des correctifs de sécurité
Lorsque l'amont est à la traîne, nous prenons les devants. Nous avons rédigé et mis en amont des correctifs pour des CVE critiques dans BusyBox, LangChain et d'autres composants essentiels, en veillant à ce que l'ensemble de l'écosystème bénéficie de nos recherches en matière de sécurité.
Flux d'avis et intégrations de scanners
Nous publions des avis de vulnérabilité aux formats OSV et secdb, en exécutant des pipelines programmés pour que les scanners de sécurité de tout l'écosystème soient exacts et à jour.
IMPACT DANS LE MONDE RÉEL
La remédiation CVE en action
Exemples de la manière dont nous corrigeons les vulnérabilités en amont, et pas seulement en aval
Corrections des CVE de BusyBox
Lorsque des CVE de BusyBox de longue date n'ont pas été corrigées en amont, les ingénieurs de Chainguard ont créé et soumis des correctifs aux mainteneurs de BusyBox. Nous avons corrigé les CVE-2025-46394 et CVE-2024-58251, en renvoyant les solutions pour que toutes les distributions Linux puissent en bénéficier, et pas seulement nos propres utilisateurs.
Une réponse rapide
Lorsque des vulnérabilités sont découvertes, nous ne nous contentons pas de corriger nos propres images. Nous apportons des correctifs en amont afin que l'ensemble de la communauté open source en bénéficie. Nos ingénieurs soumettent régulièrement des correctifs, des demandes d'extension et des avis de sécurité aux projets en amont.
Ecosystem-wide benefits
Our upstream contributions mean that Alpine Linux, Debian, Ubuntu, and other distributions can integrate our security fixes. We believe in strengthening the entire ecosystem, not just building walls around our own products.
SÉCURITÉ AUTOMATISÉE
Corriger les vulnérabilités avant qu'elles ne soient détectées
Notre système de reconstruction automatisé fournit des correctifs de sécurité plus rapidement que l'analyse traditionnelle des vulnérabilités
Surveillance automatisée des projets en amont
Nos robots surveillent en permanence les projets en amont pour détecter les nouvelles versions. Lorsque des correctifs de sécurité disparaissent, notre système ouvre automatiquement des demandes de téléchargement pour reconstruire les paquets, sans attendre que les bases de données CVE soient mises à jour.
Des heures, pas des semaines
Lorsque Go a publié la version 1.20.6 corrigeant la CVE-2023-29406, nous avons fourni des images corrigées en quelques jours. Les scanners traditionnels ne pouvaient même pas encore détecter la vulnérabilité - le NVD n'avait pas publié les données requises, et la plupart des scanners ignorent les problèmes liés à la bibliothèque standard.
Reconstructions en cascade
Lorsque nous avons corrigé Go, les 192 paquets basés sur Go dans Wolfi ont été reconstruits avec le correctif - y compris cert-manager, etcd, les composants Kubernetes et Terraform.
Le résultat
Élimination des risques liés aux systèmes de construction compromis et aux mécanismes de distribution de paquets détournés afin d'atténuer les attaques de logiciels malveillants telles que XZ-Utils, MavenGave et npm Shai-Hulud.
GESTION DURABLE
Chainguard EmeritOSS
Maintenance sûre et prévisible pour les projets open source matures qui ont atteint la stabilité.
Kaniko
Lorsque Google a archivé Kaniko en 2025, nous sommes intervenus pour fournir un support de maintenance uniquement. Nous fournissons des correctifs CVE, des mises à jour de dépendances et des images maintenues pour que les charges de travail des clients fonctionnent en toute sécurité pendant leur période de migration.
Kubeapps
Un outil bien-aimé pour déployer et gérer des applications dans des clusters Kubernetes. Alors que les mainteneurs ont atteint les transitions naturelles du cycle de vie, nous nous assurons que Kubeapps reste sécurisé et opérationnel, donnant aux équipes la stabilité dont elles ont besoin pendant leur planification de migration.
ingress-nginx
Un contrôleur ingress critique intégré dans d'innombrables déploiements Kubernetes. Notre maintenance axée sur la stabilité permet aux équipes de continuer à fonctionner en toute sécurité tout en évaluant leur chemin de migration.
MinIO
Conçu pour les environnements cloud-native et Kubernetes, MinIO fournit un stockage évolutif et durable pour les lacs de données, les sauvegardes, le stockage d'artefacts et les charges de travail d'apprentissage automatique. Avec EmeritOSS, nous continuerons à prendre en charge ce système de stockage objet open source haute performance.
PgCat
PgCat est un pooler de connexion et un proxy PostgreSQL qui supporte le sharding, l'équilibrage de charge, le failover et le mirroring. C'est une alternative robuste au classique PgBouncer que nous sommes heureux de supporter.
PushProx
Prometheus PushProx est une solution intelligente de proxy et de client qui permet à Prometheus de scraper des cibles même derrière des NATs ou des firewalls, tout en conservant le modèle familier basé sur le pull. Cela facilite grandement la surveillance des environnements où le scraping direct n'est pas possible.