- Bộ sưu tập image container nhẹ được thiết kế để giảm thiểu tối đa các lỗ hổng bảo mật (CVE) trong môi trường production
- Được rebuild hằng ngày dựa trên apko của Chainguard và các gói Wolfi để phản ánh các bản vá bảo mật mới nhất
- Loại bỏ các gói không cần thiết để giảm thiểu bề mặt tấn công, và phần lớn image chỉ chứa 0~5 CVE hoặc ít hơn
- Cung cấp image cho các runtime và dịch vụ chủ chốt như Python, Node.js, Bun, Go, Nginx, HTTPD, Jenkins, Redis, PostgreSQL, SQLite
- Mỗi image đều chạy với người dùng không phải root (non-root) và mặc định không kèm shell
- Thiết kế tập trung vào bảo mật
- Nếu không vượt qua CVE gate thì build sẽ bị xử lý là thất bại
- Ký dựa trên cosign và tự động tạo SBOM (Software Bill of Materials)
- Tất cả image đều có thể được xác minh bằng chữ ký keyless của Sigstore
- Cấu trúc pipeline build
- Gói Wolfi → tạo OCI image bằng apko → quét CVE bằng Trivy → ký và phát hành bằng cosign+SBOM
- Jenkins, Redis v.v. được tích hợp sau khi build từ source qua melange
- Cách thức cập nhật tự động và bảo trì
- Tự động build mỗi ngày lúc 2 giờ UTC để áp dụng các bản vá CVE mới nhất
- Tự động triển khai thay đổi cấu hình khi merge vào nhánh main
- Hỗ trợ rebuild khẩn cấp bằng trigger thủ công
- Hiệu quả trong ứng phó bảo mật và tuân thủ
- Giúp việc kiểm toán bảo mật và tuân thủ quy định như SOC2, FedRAMP, PCI-DSS trở nên dễ dàng hơn
- Tốc độ áp dụng bản vá nhanh hơn hơn 10 lần so với Debian/Ubuntu (trong vòng 48 giờ)
- Tăng cường bảo mật chuỗi cung ứng nhờ xác minh chữ ký và cung cấp SBOM
- Công khai theo giấy phép MIT
- Các gói bên thứ ba có trong từng image được ghi rõ giấy phép riêng như Apache-2.0, MIT, GPL, BSD v.v.
- Có thể kiểm tra thông tin giấy phép của mọi gói thông qua SBOM
2 bình luận
Dạo này các cuộc tấn công vào chuỗi cung ứng thư viện cũng nhiều, nên có vẻ việc cập nhật lên phiên bản mới nhất mỗi ngày đôi khi lại không hẳn là an toàn hơn.
Tôi vẫn chưa hiểu rõ nó khác gì với cái này: https://github.com/GoogleContainerTools/distroless