Gehärtete Behälterbilder: Bilder für eine sichere Lieferkette
Beobachter von Software-Supply-Chain-Sicherheitsprodukten fragen sich oft, in welche Marktkategorie Chainguard Images passt. Zum Beispiel finden einige Analysten Chainguard-Bilder in einer Kategorie "Containersicherheit", was auf den ersten Blick vernünftig ist. Chainguard Images verbessern tatsächlich die Sicherheit von Containern. Auf einer kürzlich stattgefundenen KubeCon-Konferenz fragten sich Teilnehmer, die am Chainguard-Stand vorbeikamen, oft, was für ein "Containerscanner" Chainguard ist. Angesichts der Tatsache, dass viele Containersicherheitsunternehmen Containerscanner anbieten, ist diese Frage verständlich.
Aber wir denken, es ist an der Zeit, dass die „Containersicherheit“ auf die gleiche Weise aufgeteilt wird, wie eine Menschenmenge auf einer Hausparty in den Hinterhof gelangen muss. Die Container-Scanning-Unternehmen waren erfolgreich, weshalb die Party überfüllt war. Aber Chainguard ist auf dem Weg in den Hinterhof, um etwas Luft zum Atmen zu bekommen.
Aus diesem Grund kündigt Chainguard seinen neuen Bericht State of Hardened Container Images an. Es ist der Bericht für Unternehmen, die Container verwenden, die nach links beginnen und nicht nur nach links verschieben möchten. Der Bericht analysiert die Sicherheit einer Vielzahl von "gehärteten" Containerbildern, darunter unter anderem von Red Hat, der Iron Bank der US-Luftwaffe (weitere Details zu diesem hier) und Chainguard.
Lesen Sie weiter, um zu verstehen, warum Chainguard glaubt, dass diese Container-Sicherheitspartei einen genaueren Blick benötigt und was unsere Analyse über den Zustand der gehärteten Containerbilder aussagt.
Die Notwendigkeit einer Bildkategorie für gehärtete Behälter
Container-Schwachstellen-Scanner, die Container auf bekannte häufige Schwachstellen und Exposures (CVEs) untersuchen, sind sehr beliebt geworden. Egal, ob es sich um Open-Source-Scanner wie Grype oder proprietäre Scanner von Unternehmen wie Snyk oder Wiz handelt, es gibt heute mehr Scanner, als man schütteln kann. Infolgedessen sind Container-Schwachstellenscanner weitgehend zu einer Ware geworden.
Als der Scanner sich hinzog, gab es jetzt einen CVE-Kater. All diese Unternehmen, die Container einsetzen, eine neuartige Möglichkeit, benutzerdefinierten Code und seine Abhängigkeiten zu bündeln und in die Cloud im DevOps-Stil zu versenden, haben entdeckt, dass Containerscanner oft Dutzende oder sogar Hunderte von CVEs pro Container finden. Während Scanner-Unternehmen hofften, die von ihren Scannern identifizierten Probleme durch CVE-Beratung beheben zu können, ist es, wie die Forschung später vorschlagen wird, nicht so einfach.
Die hohen CVE-Zahlen können aus verschiedenen Gründen nicht nur alarmierend, sondern auch kostspielig sein. Während viele der CVEs falsch-positiv sind, eine Schwachstelle, die von einem Scanner markiert wird, obwohl sie nicht wirklich vorhanden ist (Sie können hier mehr erfahren), gibt es viele echte.
Diese Überschwemmung von CVEs in Containern motivierte Chainguard, ein Produkt zu entwickeln, das sich ausschließlich auf die Neugestaltung von Containerbildern von Grund auf mit Blick auf Sicherheit und Compliance konzentriert, daher "gehärtete" Containerbilder.
Dies ist Chainguard Images, unsere Suite minimaler Containerbilder mit niedrigen bis keinen CVEs und der Option einer FIPS-validierten Version. Der Minimalismus, der weniger Pakete und eine kleinere Größe bedeutet, reduziert die Angriffsfläche und senkt die CVE-Zahl. Aber wenn CVEs unweigerlich in Chainguard Images auftauchen, beheben wir sie innerhalb einer definierten Service-Level-Vereinbarung.
Einführung in den Bildbericht gehärteter Container
Um Containerbenutzern zu helfen, die Landschaft gehärteter Container zu schätzen, hat Chainguard seinen ersten Bericht „Hardened Container Image“ veröffentlicht. Der Bericht untersucht eine Reihe von Containerbildern, von denen einige härter sind als andere, und einige Containerhärtungstechniken.
Die Analyse vergleicht jeden Satz von Containerbildern mit einem äquivalenten oder ähnlichen Satz von Chainguard-Bildern. Der Bericht verwendet den Open-Source-Schwachstellenscanner Grype, um die Anzahl der gemeldeten CVEs in jedem Bild oder Bildsatz zu messen.
Eine Auswahl der wichtigsten Ergebnisse umfasst:
Beliebte Debian-basierte, von der Community unterstützte Bilder, die ein Chainguard-Images-Äquivalent haben, haben im Durchschnitt fast 300 CVEs. Diese Anzahl von CVEs ist zumindest teilweise auf diese Container-Images zurückzuführen, die im Durchschnitt fast 300 Komponenten oder Open-Source-Pakete umfassen.
Das einfache Aktualisieren der Pakete in einer Unterstichprobe beliebter Debian-basierter Images auf die neueste verfügbare Paketversion führt nur zu einer bescheidenen Reduzierung der Gesamtzahl der CVEs um fünf Prozent.
Eine detaillierte Analyse einer Container- "Debloating" -Technologie, die eine CVE-Reduktionsrate von etwa 65 Prozent feststellt, deutet darauf hin, dass diese Technik nur mäßig wirksam ist.
Eine Analyse der von Red Hat bereitgestellten Containerbilder deutet darauf hin, dass diese Bilder im Durchschnitt fast 200 CVEs enthalten. Diese Zählung schließt die Hunderte von CVEs aus, die das Sicherheitsteam von Red Hat mit "wird nicht behoben" gekennzeichnet hat.
Die 50 am häufigsten heruntergeladenen Bilder in Iron Bank, einem Repository der US Air Force für gehärtete Containerbilder, haben im Durchschnitt 110 CVEs.
Die gemeißelten Bilder von Canonical haben wenige oder keine CVEs und sind minimal, aber die Sammlung der verfügbaren Bilder ist derzeit klein, und die Einführung erfordert Power-User.
Um es krass auszudrücken, deutet diese Analyse darauf hin, dass der Container — der entscheidende Baustein der Cloud und die Einheit, auf der viele andere Elemente der digitalen Infrastruktur aufgebaut sind — ein Brand in einem Sicherheitsmüllcontainer ist.
Die Ergebnisse führen uns schließlich zurück zu Chainguard Images, einer ständig wachsenden Sammlung minimaler, gehärteter, CVE-armer Containerbilder. Der Bericht befasst sich auch mit wahrscheinlichen Einwänden, einschließlich der Frage, ob ein Fokus auf CVEs kurzsichtig ist. Im Wesentlichen sind CVEs nur ein Maß für die Sicherheit, aber das Ignorieren von CVEs ist wie das Ignorieren einer offenen Wunde mit der Begründung, dass Blut nur ein Maß für die Gesundheit ist.
Gehärtete Container-Bilder: Kommen Sie zur neuen Party
Dieser ganze Container-Sicherheits-Shindig ist populär geworden, vielleicht zu populär. "Containersicherheit" ist zu einer Fangkategorie geworden, die zu groß für ihr eigenes Wohl ist.
Containersicherheit, wie sie derzeit steht, ist wie eine Marktkategorie, die sowohl Toast (gebräuntes Brot) als auch einen Toaster (ein Gerät, das Toast macht) umfasst. Container-Sicherheitslösungen umfassen derzeit Tools zum Scannen von Containern (oft, aber nicht ausschließlich, für CVEs) und gehärtete Container-Images. So wie Toast und ein Toaster nicht dasselbe sind — sind Containerscanner und gehärtete Containerbilder auch nicht dasselbe.
Deshalb ist es an der Zeit für eine Marktkategorie für gehärtete Container-Images. Es ist eine Chance für Cloud-native Software-Teams, nach links zu bauen, nicht nach links zu verschieben. Durch die Verwendung von minimalen, Low-to-No-CVE-Containern, die für Compliance-Anforderungen entwickelt wurden, können Softwareteams die Sicherheitsrisiken und regulatorischen Probleme des aktuellen Container-Status Quo vermeiden.
Es ist eine Chance für Softwareunternehmen, keine Zeit mehr für mühsames CVE-Management zu verschwenden und sich aus dem Geschäft des Aufbaus und der Wartung ihrer eigenen Flotte vertrauenswürdiger oder „goldener“ Container-Images zurückzuziehen und wieder in die Innovation ihres eigenen Unternehmens einzusteigen.
Und für Unternehmen mit einem massiven Compliance-Albtraum (zum Beispiel Unternehmen, die FedRAMP-Compliance beibehalten oder anstreben) ist es eine Chance, neue Märkte schneller und kostengünstiger zu erschließen, mit weniger Risiko, aus der Compliance herauszufallen.
Kurz gesagt, es fühlt sich hier draußen gut an. Treten Sie der neuen Party für gehärtete Container-Images mit Chainguard bei.
Laden Sie den Bericht herunter und erfahren Sie, wie sich die aktuelle Landschaft der gehärteten Container-Bilder entwickelt. Wenn Sie mehr über die gehärteten Container-Image-Lösungen von Chainguard erfahren möchten, wenden Sie sich noch heute an unser Team.
Share this article
Related articles
- research
Engineers Want to Build, Not Maintain: Key Findings From Our 2026 Engineering Reality Report
Dustin Kirkland, SVP of Engineering
- research
The Hidden Costs of CVEs — And the Value You’re Leaving on the Table
Ed Sawma, VP of Product Marketing
- research
Mitigating malware in the python ecosystem with Chainguard Libraries
Aaditya Jain, Senior Product Marketing Manager
- research
Panic! At The Distro: A Study of Malware Prevention in Linux Distributions
Duc-Ly Vu, Trevor Dunlap, Paul Gibert, John Speed Meyers, and Santiago Torres-Arias
- research
Why AI developers are grumpy about containers
John Speed Meyers, Head of Chainguard Labs, and Dan Fernandez, Staff Product Manager
- research
FuzzSlice: Separating real CVEs from fakes through fuzzing
Aniruddhan Murali, Chainguard Labs Research Intern