LONDRES – Lorsque j’ai rencontré mon copain open-source Dustin Kirkland, vice-président de l’ingénierie à Chainguard, à Kubecon Europe, il a dit qu’il m’a remercié pour la nouvelle distribution Linux de son entreprise, Chainguard OS.
Pourquoi? Dans mon histoire de mai 2024 sur la sécurité du noyau, j’avais dit que toutes les distros avaient mal à la sécurité de Linux. (C’était la conclusion d’un Ciq Étude, mainteneur de noyau secure Linux Greg Kroah-Hartman, et haut de gamme Linux Kees Cook dinner.)
« Une ampoule s’est déclenchée », m’a dit Kirkland, « et j’ai réalisé, Holy Cow, c’est la pièce qui me manquait, automotive nous avons construit notre produit autour de conteneurs endurcis, pas de machines virtuelles, pas d’une distribution complète. »
Aussi: 5 meilleures distros Linux pour rester anonyme – quand un VPN ne suffit pas
Plus tôt, la société de conteneurs sécurisée basée à Kirkland, Washing, avait publié Wolfi, une « autorité » avec tous les logiciels dont vous avez besoin pour un conteneur sauf Linux. Dernièrement, cependant, Chainguard avait envisagé de construire sa propre entreprise sécurisée Linux. Mais, a déclaré Kirkland, cela prendrait beaucoup de travail et une douzaine de développeurs de noyaux Linux. Cependant, en utilisant l’approche que j’ai décrite dans l’histoire, ils pourraient construire une distribution encore plus sûre pour beaucoup moins de travail et d’argent.
Remark? Comme l’a expliqué Kroah-Hartman, vous devez toujours utiliser le dernier noyau secure à lengthy terme (LTS). Le mot clé ici est «dernier». Il ne suffit pas d’utiliser un LTS. Vous devez utiliser la model la plus à jour pour être aussi sécurisée que doable. Cook dinner a ajouté: « La réponse est easy, si douloureuse: Mise à jour en continu vers la dernière version du noyausoit majeur ou secure. «
Kroah-Hartman a souvent déclaré: « Tout bug a le potentiel d’être un problème de sécurité au niveau du noyau. » Jonathan Corbet, développeur de noyau Linux et rédacteur en chef LWN, a ajouté: « Dans le noyau, à peu près n’importe quel bug, si vous êtes assez clever, peut être exploitable pour compromettre le système. Le noyau est dans un endroit distinctive du système … il transforme beaucoup de bugs ordinaires en vulnérabilités. »
Maintenant que Linux est chargé d’émettre tous ses propres CVEla dernière model du noyau LTS obtient les corrections de tous les bogues connus dès qu’ils sont disponibles. Ainsi, en suivant l’arbre du noyau LTS et en émettant immédiatement une model Linux Rolling, vous pouvez être sure que votre système d’exploitation Chainguard est aussi sécurisé que doable.
De plus, Chainguard OS utilise le système de building automatisé de Chainguard, le Usine de Chainguardpour éliminer les ballonnements logiciels inutiles et réduire la floor d’attaque potentielle. Cette conception garantit que le système d’exploitation contient moins de dépendances, réduisant la probabilité de trous de sécurité.
Aussi: je suis un utilisateur de Energy Linux et cette distribution a la imaginative and prescient la plus rafraîchissante de la conception du système d’exploitation
Le système d’exploitation est également conçu avec une infrastructure immuable et zéro. Cette approche améliore la sécurité en garantissant que chaque composant est vérifié et fiable, minimisant le risque d’attaques de la chaîne d’approvisionnement. Ainsi, lorsqu’un nouveau patch kind, vous ne corrigez pas du tout votre système d’exploitation. Au lieu de cela, vous remplacez le verrouillage, le inventory et le baril par un nouveau modèle totalement sécurisé.
Chainguard OS est également continuellement vérifié pour s’assurer qu’il reste exempt de vulnérabilités. Ce processus de vérification en cours aide à maintenir un environnement de développement de logiciels et de déploiement sécurisé. Par exemple, si de nouveaux trous de sécurité se trouvent dans, disons, Python mais pas dans Linux, l’ensemble du système d’exploitation, Python et d’autres logiciels sont tirés en tant que bundle distinctive et remplacés.
Chainguard OS fait partie d’une stratégie plus massive de Chainguard pour sécuriser la chaîne d’approvisionnement des logiciels. La société a déjà fait des progrès importants avec ses photos et bibliothèques de conteneurs, qui sont conçus pour éliminer les vulnérabilités et fournir une base sécurisée aux développeurs. En étendant cette approche au niveau du système d’exploitation, Chainguard permet aux développeurs de se concentrer sur la création de logiciels sécurisés sans la cost de corriger les vulnérabilités héritées.
Aussi: 4 raisons pour lesquelles les téléchargements LibreOffice sont très haut (indice: vous vous rapporterez)
Pourquoi tout le monde ne fait-il pas ça? Si vous dépendez d’une model particulière de Linux pour votre entreprise, ce que font de nombreuses entreprises, vous ne voulez pas que les fondements de votre système d’exploitation changent constamment. C’est pourquoi même les distros Linux à l’emploi, comme Centos, ont encore des utilisateurs. Ils comptent sur Tuxcare Cycle de vie sans fin, Support de fin de vie de Centos OpenLogicou Support multi-Linux SUSEanciennement Liberty Linux, pour le soutien.
Mais si la sécurité est la priorité absolue pour les fees de travail Linux de votre entreprise, Vous voudrez utiliser des images chainguardqui sont construits au-dessus du système d’exploitation Chainguard. Chainguard OS n’est pas disponible en tant que distribution autonome; Ce n’est pas le marché de Chainguard.
Cependant, si vous leur demandez bien, ils le considéreront peut-être. En attendant, si vous exécutez la majeure partie de votre travail dans le cloud, consultez leurs photos de conteneurs, bibliothèques linguistiqueset Machines virtuelles (VM). Vous serez content material de l’avoir fait.
Restez en avance sur les nouvelles de la sécurité avec Tech aujourd’huilivré dans votre boîte de réception tous les matins.
