Annonce de Chainguard VMs : Images hôtes de conteneurs minimales, zéro CVE
L'accès est maintenant disponible via le programme Early Access.
Nous sommes heureux d'annoncer que Chainguard VMs, un catalogue d'images de conteneurs gardées, minimales et zéro CVE, est désormais disponible en Early Access (EA). Conçu pour les charges de travail modernes et éphémères dans le cloud, Chainguard VMs offre un contraste frappant avec les VM et les systèmes d'exploitation à usage général qui dominent aujourd'hui le marché des hôtes de conteneurs. Pendant l'EA, Chainguard accepte les partenaires de conception intéressés qui souhaitent collaborer sur Chainguard VMs avec nos équipes d'ingénierie, de produits et de conception.
Construites entièrement à partir de sources dans une infrastructure de construction certifiée SLSA, les VM de Chainguard n'incluent que les composants nécessaires pour fonctionner en tant qu'hôte de conteneur et un noyau optimisé pour le fournisseur de cloud sous-jacent. Notre approche réduit la surface d'attaque de la machine virtuelle, la rendant plus efficace et plus sûre, sans compromettre les performances. Comme les conteneurs et les bibliothèques, Chainguard VMs s'appuie sur le système d'exploitation et l'usine logicielle de Chainguard, qui nous donnent un contrôle total sur la chaîne d'approvisionnement des logiciels. Cela signifie que Chainguard peut continuellement reconstruire les images VM en réponse aux nouveaux correctifs de sécurité et fournir un SLA de remédiation de premier ordre pour les vulnérabilités et expositions communes (CVE). Les VM de Chainguard aideront les entreprises à réduire le travail d'ingénierie coûteux associé à la maintenance des images dorées pour les hôtes de conteneurs et à établir une base sécurisée et standardisée pour les composants open source au sein de l'entreprise. Vous trouverez ci-dessous une démonstration du produit.
Dans ce billet de blog, nous allons nous pencher sur les motivations qui nous ont poussés à créer les VM Chainguard et sur la valeur que nous apportons à nos clients.
Défis du statu quo avec les VM à usage général et les hôtes de conteneurs
Les clients sont venus nous voir à plusieurs reprises pour trouver une meilleure solution pour leurs hôtes de conteneurs, qui sont aujourd'hui principalement des machines virtuelles à usage général basées sur les distributions Linux d'entreprise en place. En combinant des milliers de paquets inutiles pour faire fonctionner les hôtes de conteneurs et les charges de travail conteneurisées, les distributions existantes doivent maintenir un ensemble complexe de dépendances entre les composants et "geler" leurs distributions à un flux de versions spécifique. Afin de corriger les vulnérabilités, les fournisseurs de systèmes d'exploitation en place doivent souvent rétroporter les modifications de code apportées par les responsables en amont, plutôt que d'utiliser la dernière version qui contient la correction. Avec des milliers de paquets à maintenir et des cycles de vie de plus de 5 ans, la quantité de travail d'ingénierie manuelle nécessaire pour valider, rétroporter, tester et distribuer les correctifs pour les CVE est déjà énorme, croissante et coûteuse. De plus, lorsqu'une distribution approche de sa fin de vie, de nombreux paquets perdent le soutien des mainteneurs. Cela signifie que les fournisseurs de systèmes d'exploitation hérités doivent prendre en charge la production de correctifs pour les CVE en partant de zéro. Dans de nombreux cas (c'est-à-dire pour les CVE de faible gravité), les fournisseurs de systèmes d'exploitation choisissent d'abandonner complètement cette tâche sysiphéenne. En conséquence, les entreprises clientes se retrouvent avec un système d'exploitation comportant un grand nombre de CVE qui ne seront jamais corrigés.
Pour bénéficier des dernières versions en amont et éliminer ces CVE, les entreprises doivent procéder à une mise à niveau majeure "big bang" vers une nouvelle version de la distribution. En exigeant des migrations "big bang" pour avoir accès aux nouvelles versions des logiciels, les utilisateurs de l'entreprise passent à côté des corrections de bogues, des optimisations de performances, des améliorations de la stabilité et, surtout, des mises à jour de sécurité complètes.
L'approche du statu quo qui consiste à s'appuyer sur des machines virtuelles polyvalentes et des distributions Linux d'entreprise traditionnelles pour prendre en charge le cas d'utilisation de l'hôte de conteneur a créé quelques points de douleur importants pour les clients :
Le travail des développeurs : Les hôtes de conteneurs traditionnels sont truffés de vulnérabilités parce qu'ils ne reçoivent pas de mises à jour fréquentes. Le triage, la gestion et la correction de ces vulnérabilités représentent un travail considérable pour les développeurs. Les fournisseurs de VM généralistes ignorent complètement certaines CVE (en les marquant comme "non corrigibles"), ce qui complique la tâche des utilisateurs qui doivent respecter les accords de conformité ou les accords de niveau de service des clients.
Logiciels obsolètes : Les logiciels périmés qui ne sont pas compatibles avec les versions en amont font que les utilisateurs ne bénéficient pas des mises à jour des fonctionnalités et des performances. Cela empêche les utilisateurs d'optimiser les capacités matérielles et logicielles les plus récentes lors de la création et du déploiement d'applications. Les entreprises ont de plus en plus de mal à faire tourner des moteurs d'orchestration de conteneurs modernes sur des systèmes d'exploitation anciens.
Migrations "big bang" : Les distributions Linux d'entreprise nécessitent des mises à jour majeures lorsqu'elles arrivent en fin de vie. Les organisations d'ingénierie sont alors confrontées à d'énormes défis techniques et opérationnels qui accompagnent les mises à niveau des systèmes d'exploitation. La mise à niveau de milliers de serveurs tout en comblant les incompatibilités entre les versions de logiciels est coûteuse, gourmande en ressources et pénible.
Choix limité : Les entreprises méritent d'avoir la possibilité de choisir les solutions qui répondent le mieux à leurs besoins. Aujourd'hui, les entreprises qui déploient des applications conteneurisées natives du cloud sont limitées dans leur choix de système d'exploitation et de VM hôtes de conteneurs à un ensemble d'anciens fournisseurs qui ne répondent pas à leurs besoins, ou à des solutions natives de fournisseurs de services cloud qui ne peuvent pas être utilisées par différents fournisseurs de services cloud.
La solution de Chainguard : Chainguard VMs
Pour relever ces défis, nous avons créé Chainguard VMs, un catalogue d'images d'hôtes de conteneurs surveillés, analogue à nos images de conteneurs. Les Chainguard VMs sont des machines virtuelles spécialement conçues pour fournir le noyau et le runtime du conteneur afin d'exécuter un conteneur.
Les VM Chainguard offrent une valeur ajoutée reposant sur quelques piliers clés :
Réduire le travail d'ingénierie coûteux : Les hôtes de conteneurs Chainguard sont conçus à cet effet, sont minimaux et n'ont pas de CVE. Chainguard VMs réduit le fardeau des équipes d'ingénierie pour le triage, la gestion et la remédiation des CVE en fournissant un SLA de remédiation des CVE pour les hôtes de conteneurs - libérant ainsi des ressources techniques précieuses pour se concentrer sur des priorités commerciales à plus forte valeur ajoutée.
Conformité continue : Les cadres de conformité critiques tels que FedRAMP, PCI DSS et HIPAA exigent des organisations qu'elles éliminent les CVE dans leurs VM, y compris les hôtes de conteneurs. Chainguard accélère les délais d'audit et simplifie la conformité continue grâce à des hôtes de conteneurs renforcés et sans CVE.
Secure Foundation for Open Source : En standardisant les déploiements d'hôtes de conteneurs sur les VM Chainguard, les clients réduiront leur surface d'attaque et garantiront l'intégrité de bout en bout de tous leurs composants logiciels. Cela signifie une plus grande clarté sur les logiciels libres déployés dans l'entreprise et sur la manière dont ils sont construits.
Accès rapide à l'innovation en matière de logiciel libre : En reconstruisant chaque composant VM à partir de la source, Chainguard fournit des mises à jour continues aux clients, qui bénéficient des dernières fonctionnalités, des optimisations de performance et des mises à jour de sécurité des mainteneurs de logiciels. Chainguard élimine le besoin de migrations logicielles " big bang " grâce à un meilleur mécanisme de livraison de logiciels open source.
Standard moderne et multi-cloud : Les VM de Chainguard sont prises en charge par les trois principaux fournisseurs de cloud, en tant qu'hôtes de conteneurs autogérés dans le calcul (c'est-à-dire EC2). Chainguard a également optimisé ses images d'hôtes de conteneurs pour l'offre Kubernetes gérée d'Amazon, Elastic Kubernetes Service (EKS), afin de permettre des déploiements en un clic.
Démarrer avec Chainguard VMs
Nous sommes ravis de lancer notre programme d'accès anticipé pour Chainguard VMs et nous accueillons les premiers partenaires de conception pour aider Chainguard à itérer sur le produit et à guider notre feuille de route. Votre participation jouera un rôle clé dans l'élaboration des plans futurs de Chainguard et vous placera à l'avant-garde de la conception de plates-formes sécurisées pour le déploiement d'applications.
Si vous souhaitez en savoir plus sur les VM de Chainguard ou sur la façon dont les hôtes de conteneurs minimaux et sans CVE peuvent transformer votre chaîne d'approvisionnement en logiciels, contactez-nous dès aujourd'hui. Les clients existants de Chainguard peuvent commencer à utiliser les images d'hôtes de conteneurs de Chainguard en se coordonnant avec leurs équipes de compte sur Slack ou par e-mail.
Share this article
Articles connexes
- product
Forrester TEI study: Chainguard Containers delivered 233% return on investment
Dustin Kirkland, SVP of Engineering
- product
Expanding Chainguard’s Helm chart coverage and deepening user experiences
Sam Katzen, Staff Product Marketing Manager, and Tazin Progga, Senior Product Manager
- product
Introducing Fulfillment Dashboard: New artifact requests are now self-serve
Sam Katzen, Staff Product Marketing Manager, and Reid Tatoris, VP of Product
- product
Super SBOMs: See exactly what's inside
Tony Camp, Staff Product Manager
- product
Security baked into your software supply chain: The combined benefit of JFrog and Chainguard
Mandy Hubbard, Senior Technical Product Marketing Manager, and Dafna Zahger Bernanka, JFrog Director of Product Marketing, Security
- product
Introducing automatic, short-lived credentials for Chainguard Libraries for Python
Jason Hall, Principal Software Engineer, and Ross Gordon, Staff Product Marketing Manager