Standardmäßig sichere Container-Images

"Zero-CVE" bedeutet, dass zum Zeitpunkt der Veröffentlichung keine CVEs bekannt sind. Das minimale Design und die kontinuierlichen Umbauten von Chainguard halten die CVE-Zahlen niedrig und neue Ratschläge werden im Rahmen der SLA behoben, sodass Sie zu sauberen Verdauungen voranschreiten können.

FIPS 140-3: Kryptografische Module, die durch das Cryptographic Module Validation Program von NIST validiert wurden und in vielen regulierten Umgebungen erforderlich sind (z. B. FedRAMP, DoD Impact Levels usw.).

STIG: Sicherheitstechnische Implementierungsleitfäden. Dies sind DISA-Härtungsgrundlagen, die wir auf Betriebssystemebene anwenden.

Verwenden Sie FIPS-validierte Bilder und STIG-gehärtete Hosts, wenn Ihre Betriebsbehörde, Ihr Vertrag oder Ihre interne Richtlinie dies erfordert.

Chainguard beschleunigt die Zertifizierung und vereinfacht die laufende Einhaltung mit minimalen, Null-CVE-Containern. Unsere Images werden mit FIPS-Kryptographie, STIGs auf OS-Ebene und vollständigen SBOMs mit einem branchenführenden SLA für die CVE-Korrektur geliefert — diese Funktionen tragen dazu bei, viele der von diesen Compliance-Frameworks geforderten Kontrollen zu erfüllen.

Jedes Chainguard-Bild wird mit Sigstore-Signaturen, einem signierten SBOM und SLSA L2-Provenienz ausgeliefert. Auditoren oder automatisierte Continuous-Integration-Pipelines können die Authentizität überprüfen und die Provenienz mit Cosign/Sigstore aufbauen.

FIPS-validierte Container-Varianten sind verfügbar und sollten in Umgebungen verwendet werden, in denen validierte Kryptographie erforderlich ist.

STIG-gehärtete Hosts (Chainguard VMs) sind verfügbar und sollten dort verwendet werden, wo DISA-Härtegrundlinien vorgeschrieben sind.

Im Durchschnitt zeigen Chainguard-Bilder ~ 97,6 % weniger Schwachstellen als typische Alternativen und ~80 % geringere CVE-Akkumulation im Laufe der Zeit.

Chainguard Factory verfolgt Upstream-Änderungen, löst saubere Rebuilds aus, veröffentlicht dann neue Images mit aktualisierten SBOMs und Provenienz und liefert unter SLA. Sie bewerben neue Digests über Ihr normales CI/CD.

Chainguard-Artefakte sind Standard-OCI-Bilder, die Signaturen, SBOMs und Provenienzdokumentationen enthalten. Die Cosign/Sigstore-Verifizierung funktioniert in jeder Umgebung, in der auf Ihre Vertrauenswurzeln zugegriffen werden kann. Für vollständig luftgetrennte Umgebungen hängen bestimmte Implementierungsdetails von Ihrer Registrierungskonfiguration und der Sigstore-Vertrauensstellung ab.

Mit Chainguard können Sie die Integrität durchgängig überprüfen, indem Sie Container-Images, Bibliotheken und VMs bereitstellen, die kontinuierlich von der Quelle neu erstellt und mit Sigstore-Signaturen, signierten SBOMs und SLSA-Level-2-Provenienz ausgeliefert werden. So erhalten Sie einen manipulationssicheren Beweis dafür, dass das, was Sie bereitstellen, genau das ist, was sicher erstellt wurde.