La révolution sans distorsion sera Chainguardée
Voici le dernier article d'une série de trois articles consacrés à la distribution de logiciels libres - le passé récent, le point d'inflexion du présent et l'avenir.
Dans le premier article, nous nous sommes penchés sur les fondements qui ont créé et défini les distributions des systèmes d'exploitation UNIX et Linux, ainsi que sur les défis posés par le statu quo des distributions traditionnelles. Dans le second, nous avons parlé des innovations et des cas d'utilisation qui font que le présent est un point de basculement vers le sans-distribution.
Aujourd'hui, nous allons parler de l'avenir et des raisons pour lesquelles il commence maintenant.
Nous avons décrit les défis posés par les distros Linux traditionnelles "figées dans le temps", ainsi que les innovations et les cas d'utilisation qui ont favorisé le développement et la fourniture d'applications conteneurisées modernes et natives pour le nuage. Cependant, nous avons atteint un point où les inconvénients en matière de sécurité, de performance et d'innovation l'emportent sur la familiarité et la stabilité perçue de la dernière génération de livraison de logiciels.
À quoi devrait donc ressembler la prochaine génération de logiciels libres ?
Pour répondre aux attentes modernes en matière de sécurité, de performances et de productivité, les concepteurs de logiciels ont besoin des logiciels les plus récents sous la forme la plus petite possible, conçus pour leur cas d'utilisation, sans aucune des CVE qui entraînent des risques pour l'entreprise (et une liste de "fix its" de la part des équipes chargées de la sécurité). Pour respecter ces paramètres, il ne suffit pas de faire table rase du passé. Au contraire, la prochaine génération de livraison de logiciels libres doit partir de la source des logiciels sécurisés et mis à jour : les mainteneurs en amont.
En dépassant les distros en aval, il est possible d'exploiter les logiciels les plus récents, qui bénéficient des derniers correctifs de sécurité et des mises à jour de performance sans dépendre des mainteneurs en aval. De même, en dépassant les distros traditionnelles, il est possible d'exploiter dès le départ des images de conteneurs conçues à cet effet, plutôt que de dépendre de vos propres personnalisations en aval de distros généralistes souvent saturées.
Voici Chainguard OS
Chainguard a construit cette nouvelle approche sans distros, en reconstruisant continuellement des packages logiciels basés non pas sur les distros en aval, mais sur les sources en amont qui suppriment les vulnérabilités et ajoutent des améliorations de performance. Nous l'appelons Chainguard OS.
Chainguard OS sert de base aux résultats de sécurité, d'efficacité et de productivité que les produits Chainguard offrent aujourd'hui, en "Chainguardant" un catalogue en croissance rapide de plus de 1 000 images de conteneurs.
Chainguard OS adhère à quatre principes clés pour rendre cela possible :
Intégration et livraison continues : L'accent est mis sur l'intégration continue, les tests et la mise à disposition de paquets logiciels en amont, garantissant un pipeline de développement rationalisé et efficace grâce à l'automatisation.
Nano mises à jour et reconstructions : Privilégie les mises à jour et reconstructions incrémentales non-stop plutôt que les mises à jour majeures, assurant des transitions plus douces et minimisant les changements perturbateurs.
Artéfacts minimaux, renforcés et immuables : Cette approche permet d'éliminer les artefacts logiciels inutilement gonflés par les fournisseurs, de rendre facultatifs pour l'utilisateur les paquets sidecar et les extras, tout en renforçant la sécurité grâce à des mesures de durcissement.
Minimisation du delta : Réduit au minimum les écarts par rapport à l'amont, en n'incorporant des correctifs supplémentaires que lorsqu'ils sont indispensables et seulement pendant la durée nécessaire jusqu'à ce qu'une nouvelle version soit coupée de l'amont.
La meilleure façon de mettre en évidence la valeur des principes de Chainguard OS est peut-être d'en voir l'impact dans Chainguard Images.
Dans la capture d'écran ci-dessous (et visible ici), vous pouvez voir une comparaison côte à côte entre une image Chainguard externe et .
Outre l'écart très net dans le nombre de vulnérabilités, il est intéressant d'examiner la différence de taille entre les deux images de conteneur. L'image Chainguard ne représente que 6% de l'image alternative open source.
Outre la taille réduite de l'image, l'image Chainguard a été mise à jour une heure avant la capture d'écran, ce qui se produit quotidiennement :
Un examen rapide de la provenance et des données SBOM illustre l'intégrité et l'immuabilité de bout en bout des artefacts - une sorte d'étiquette nutritionnelle complète qui souligne la sécurité et la transparence qu'une approche moderne de la fourniture de logiciels libres peut apporter.
Chaque image Chainguard est un exemple pratique de la valeur apportée par Chainguard OS, offrant une alternative à ce qui a précédé. Le meilleur indicateur est peut-être le retour d'information que nous avons reçu de nos clients, qui nous ont expliqué comment les images de conteneurs de Chainguard les ont aidés à éliminer les CVE, à sécuriser leurs chaînes d'approvisionnement, à atteindre et à maintenir la conformité, et à réduire le travail des développeurs, ce qui leur a permis de réaffecter de précieuses ressources de développement.
Nous sommes convaincus que les principes et l'approche de Chainguard OS peuvent être appliqués à une variété de cas d'utilisation, étendant les avantages des paquets logiciels continuellement reconstruits à partir de sources à un plus grand nombre encore de l'écosystème open source.
Si vous avez trouvé cela utile, n'oubliez pas de consulter notre livre blanc sur ce sujet, et la méthode plus large que nous avons adoptée pour résoudre ce problème pour les organisations. N'oubliez pas non plus notre prochain webinaire du 9 avril, au cours duquel nous approfondirons le sujet.
Share this article
Articles connexes
- engineering
Owning the boundary: Introducing the Chainguard FIPS Provider for OpenSSL 3.4.0
Dimitri John Ledkov, Senior Principal Software Engineer, and Mandy Hubbard, Senior Technical Product Marketing Manager
- engineering
FIPS-ing the Un-FIPS-able: Apache Kafka
Jamon Camisso, Senior Manager, Software Engineering
- engineering
This Shit is Hard: The complexities of fixing Python library security issues at scale
Wesley Wiedenmeier, Senior Software Engineer
- engineering
How I learned to stop worrying and love the latest tag
Adrian Mouat, Staff Developer Relations Engineer
- engineering
The tech leader’s mandate: Use engineering to accelerate sales velocity
Sam Katzen, Staff Product Marketing Manager
- engineering
DriftlessAF: Introducing Chainguard Factory 2.0
Matt Moore, Co-founder and CTO, Manfred Moser, Senior Principal Developer Relations Engineer, and Maxime Greau, Principal Software Engineer