Canonical 为任何 open source Docker 镜像提供 12 年长期支持
by Canonical on 19 September 2024
“Everything LTS 计划”— Canonical 将根据客户的规格要求构建 distroless Docker 镜像,其中包括 Ubuntu 中未打包的上游组件,并在 24 小时内修复关键的 CVE 漏洞,在 RHEL、Ubuntu、VMware 或公共云 K8s 上畅享长达 12 年以上的支持。
Canonical 将其 LTS 产品扩展到 Ubuntu 的 “deb” 包以外,并推出了一项新的 distroless Docker 镜像设计与构建服务,该项服务为任何开源应用程序或依赖项均提供 12 年的安全维护,无论该软件是否是 Ubuntu 中已打包的软件。
「Everything LTS 计划意味着 CVE 维护将覆盖您的整个开源依赖项树,包括 Ubuntu 中未作为 deb 包打包的开源依赖项。」Canonical 首席执行官 Mark Shuttleworth 称,「我们按照你的规格要求提供 distroless Docker 镜像或基于 Ubuntu 的 Docker 镜像,我们将在 RHEL、VMware、Ubuntu 或主要的公共云 K8s 上提供支持。我们的企业客户和 ISV 客户现在可以依靠 Canonical 来满足任何开源堆栈的监管维护需求,无论堆栈规模多大或多复杂,无论客户想要在哪里堆栈部署,我们都能满足。」
Canonical 提供 “Everything LTS 计划” 这一举动为 Ubuntu Pro 扩展了数千个新的开源上游组件,包括当下最新的 AI/ML 依赖项以及机器学习、训练和推理工具,这些组件与 Ubuntu 一起作为源代码而非 “deb” 包进行维护。Canonical 针对这些开源组件的 CVE 安全维护承诺有助于确保符合 FIPS、FedRAMP、欧盟网络弹性法案(CRA)、FCC 美国网络安全信任标识和 DISA-STIG 等监管基准要求。
客户委托 Canonical 设计一个开源应用程序的 Docker 镜像,或者一个包含所有开源依赖项的基础镜像来托管其专有应用程序。他们可获得加固的 distroless 容器镜像,不仅攻击面最小,而且享受 12 年以上的 CVE 维护。Docker 镜像是一种开放容器倡议(OCI)标准容器镜像格式,可以在 Ubuntu、Red Hat Enterprise Linux(RHEL)、VMware Kubernetes 或公共云 K8s 上直接运行。Canonical 将在以上所有平台上支持这些定制镜像。
Ubuntu Pro 订阅还为用户提供运行无限制 “Everything LTS” 容器的权利。支持 VMware、RHEL 和公共云主机,价格与 Ubuntu Pro 主机相同。
Distroless 容器极小但安全
行业研究表明,84% 的代码库至少存在一个开源漏洞,其中 48% 的漏洞为高风险漏洞。
Distroless 容器设计范例描述的是只包含运行单个应用程序所需文件的容器。而我们的目标是更小的容器,且在发现容器存在漏洞时更难以被利用,因为容器内没有多余的实用程序或附加内容可以辅助攻击者。
Distroless 容器通常是从头构建的,当开发人员使用包含许多组件、语言和运行时间长的复杂应用程序时,他们难以设计或调试这些容器。对于开发人员而言,在诸如 Ubuntu 这样的平台上工作要容易得多。
Chiselled Ubuntu 容器是基于 Ubuntu 及 Chisel 构建的 distroless 容器,其中只包含应用程序绝对必要的文件。多余的 distro 元数据和工具被排除在外,只保留应用程序的绝对依赖项。这些超小且高效的容器大大减少了攻击面,技术水平也得到了改进。
开发人员使用完整且熟悉的 Ubuntu 工具链(也是最受云开发人员喜爱的 Linux 环境),然后使用 Chisel 构建容器,即可实现 distroless 生产产出物。其附带的好处在于,此类容器的调试大大简化,因为无需 Chisel 即可构建相同的容器,为开发人员提供了他们在测试环境中分析应用程序行为所需的熟悉工具。Chisel 实现了基于发行版的工程工作流和 distroless 生产环境之间的无缝互操作性。
作为容器设计和构建服务的一部分,Canonical 将分析您的应用程序依赖项树,确定 Ubuntu Pro 中尚未包含的开源组件,将这些组件纳入 CVE 维护范围,并创建一个容器镜像,您可以选择创建一个 chiselled 和 distroless 镜像。容器镜像创建之后,管道自动化功能会驱动定期更新,确保包含相关补丁,并最大限度地减少严重和高风险漏洞的数量。
企业 .NET 应用程序的 chiselled 运行
Microsoft 和 Canonical 针对 .NET 社区创建了 chiselled 容器。Chisel 将官方 .NET 容器的大小缩小了 100 MB。对于自含的 .NET 应用程序,chiselled 运行时基础镜像仅 6 MB 压缩大小。占用空间更小,跨网络以及从存储到执行过程中的缓存速度更快,同时还减少了内存开销。
「Canonical 和微软是备受许多同类客户信赖的供应商。」Microsoft .NET 产品经理 Richard Lander 表示,「当我们分享与客户共同构建的东西时,得到了非常积极的反应。客户希望开展更多这样的合作,因为我们在设计的各个方面都是以客户工作流、易用性和安全性为核心。我们通过共同努力创造出了一款更好的产品,而且很快我们看到它在生产环境中得到采用。」
大小和攻击面区域的减少只是我们联合安全容器策略的一个方面。而另一方面,合作双方已经建立了零距离的供应链,以确保 Chiselled .NET 基础镜像中所用全部资产(从源代码到生产产出物)的可信来源。
支持 RHEL、VMware、Ubuntu 和公共云 K8s
Ubuntu 是使用最广泛的云 Linux,且 Ubuntu Pro 已然成为世界上最全面的安全维护产品,其涵盖了超过 36700 个 “deb” 包,比任何其他企业 Linux 都更开源。然而,有一些团队可能会受企业政策限制使用特定的主机操作系统。
OCI 格式,通常被称为 Docker 镜像,是在任何 Linux 平台上运行受限应用程序的标准方式。企业 SRE 既可以维持其现有的策略和程序,也能在其基础架构上以本地包的形式运行由 Canonical 维护的 Docker 镜像。推出 Everything LTS 计划后,Canonical 可以接触到 Ubuntu 以外的客户,并以 OCI 格式维护任何开源堆栈,以便在 RHEL、Ubuntu 和 Vmware 主机以及公共云 K8s 上实现经过认证的用途。
当容器在 OpenShift 或其他经过认证的 Kubernetes 发行版上运行时,Red Hat Enterprise Linux 将受到支持。在 Ubuntu 上,容器将在任何 Canonical 的 Kubernetes 产品(MicroK8s 或 Charmed Kubernetes)上受到支持。Vmware 将在 Tanzu Kubernetes Grid 或 vSphere with Kubernetes 上,或者在 vSphere 集群的 Ubuntu 虚拟机上受到支持。在公共云上,Canonical 将支持 Azure、AWS、Google、IBM 和 Oracle 公共云 Kubernetes 产品上的容器。
「确保符合 FedRAMP 或 HIPAA 要求对于 CISO 而言非常具有挑战性。这是在混合云和公共云中运行大规模兼容容器资产的最简单、最经济的方式。」Canonical 公共云联盟负责人 Alex Gallagher 称,「我们与经过认证的公共云密切合作,优化 Kubernetes 的安全性与性能,并且集成 Ubuntu Pro,提供对 LTS 容器的无缝、无摩擦访问。」
AWS、Azure 和 Google 在其 IAAS 服务中直接提供 Ubuntu Pro。新产品包含在公共云 Ubuntu Pro 订阅中,无额外费用。
最新的 AI/ML 工具链、依赖项和堆栈
公司的全球合作伙伴和客户中,已经有人使用了由 Canonical 与 Ubuntu 共同维护的数千个上游开源依赖项,构建适用于 AI 工作负载和解决方案的容器。企业和 ISV 合作伙伴现在可以借助这一系列的容器来满足他们的 AI 需求。
以 Everything LTS 计划改变企业和 ISV 产品计划和可能性的方式为例,Canonical 称其现在维护着 2000 多个广泛使用的 AI/ML 库和工具,包括 PyTorch、Tensorflow、Rapids、Triton、CASK 以及最新机器学习和生成式 AI 解决方案的更多重要上游元件。
该产品组合包括适用于 MLOps、数据管理和流应用程序的 LTS 容器,以助力企业 AI 生产计划加速,且无需担心未来的维护工作。
针对容器和任何开源依赖项的 LTS
对于寻找一个值得信赖的合作伙伴来维护容器镜像从而满足严格的报告和补救要求的企业组织而言,这项新的服务正是理想之选。
Canonical 于 2006 年首次发布 Ubuntu LTS 时创造了“长期支持”这一词。其在安全维护质量和速度方面享有盛誉,与其他企业产品相比,其产品可以提供针对更多 CVE 漏洞的修复,速度更快,并且缺陷更少。修复关键 CVE 漏洞的平均时间不到 24 小时,这就是Ubuntu Pro 能够保障全球 SaaS 品牌和 AI 产品以及主要 ISV 企业解决方案的安全性的原因所在。
Canonical 提供的容器构建服务将包括长达 12 年的长期支持承诺,为定制 Docker 镜像提供超过十年的安全维护。凭借 LTS 承诺与公司的上游社区关系,Canonical 成为了希望获得两全其美方案的企业组织的理想合作伙伴:有可靠合作伙伴提供的保障,还有最新、最好的开源资源。
合规且经得起时间考验
在满足严格的漏洞管理、审计和报告要求方面,企业组织面临着重重困难。而 Canonical 和 Ubuntu Pro 能够帮助公司和 ISV 达到欧盟网络弹性法案(CRA)等新法规的要求。作为容器构建服务的一部分进行交付的镜像将继承这一优势,企业组织使用这些镜像,将满足严格报告和修复要求的重担交给 Canonical。
Canonical 支持的容器在严格监管环境中备受信赖。例如,加固的 Ubuntu 容器经预先批准由美国政府机构和软件供应商在 Iron Bank(美国国防部 Platform One 平台托管的安全容器存储库)上使用。
Ubuntu Pro 允许访问 FIPS 140-2 认证加密包,帮助满足 FedRAMP、HIPAA 和 PCI-DSS 以及其他监管制度合规性。获得 Canonical 提供的安全容器的企业组织则可以利用这些经过认证的组件。
获取最喜爱 distro 公司提供的 distroless 容器
订阅博客文章
查看更多内容
Ubuntu Linux 为什么成为金融服务领域取代 CentOS 的首选?
金融服务由技术驱动。而客户体验越来越多地由数据驱动,通过定制产品和服务可以体现出个人行为和偏好。所有这一切都建立在安全稳定的技术基础之上,只有这样的基础才可以提供敏捷性和灵活性,以适应客户需求的同时保持合规性。 使用 CentOS 作为创新基础的金融服务机构见证了 CentOS 8 于 2021 年退出,随后是 CentOS 7 于 2024 年 6 月退出。不过,最近的一项研究显示,各行业近四分之一的企业组织仍在使用 CentOS。 听起来是不是很耳熟?众所周知,金融机构在进行重大技术变革时是最谨慎的。考虑到金融业务的敏感性,这也就可以理解了。事实上,尽管过渡到云已成为一种成熟的方案,但仍有 60% 的金融机构表示,他们采用的传统技术堆栈成本过高且存在不足。与所有传 […]
您每隔多久会在 Linux 上安装一次安全补丁?
定期应用补丁对于维护安全的环境至关重要,但对于确保 Linux 资产的安全性,并不存在一劳永逸的办法。那么,如何平衡更新频率和运行稳定性呢?有一些策略可通过合规且安全的方式实现安全补丁自动化,甚至适用于限制和监管最严格的环境。在确定安全补丁策略时,有必要了解 Canonical 软件更新发布时间表和安全补丁覆盖周期时间窗口等重要信息。笔者在近期主持的一场在线研讨会和安全问答活动中,解释了如何尽量减少补丁应用频率或尽量缩短未修复漏洞被利用的时间。本篇文章将概述笔者在这次网络研讨会上的主要观点,并说明确定更新计划时最重要的考虑因素。 针对 Linux 内核的安全补丁 Ubuntu 中有两种类型的内核,这些内核有两种打包方式。两种内核类型为通用版(GA)内核和变体内核。两种打 […]
从 CentOS 迁移到 Ubuntu:系统管理员和开发运营指南
Photo by Sonja Langford, Unsplash CentOS 7 于 2024 年 6 月 30 日迎来生命周期结束(EoL)。在此日期之后,CentOS Project 将停止提供更新或支持,包括重要的安全补丁。放弃基于 RHEL 的生态系统可能令人望而生畏,但是如果您正在考虑 Ubuntu,那么这种转换既轻松简单又经济可行。 自动化安全验证领域的领跑者 Pentera,提供了一个极具说服力的案例研究来简化这种转换。他们详细介绍了如何在作出最小调整但需采取增强的安全性措施情况下,将其基于容器的系统迁移到 Ubuntu。这一举动也得到了其客户的积极回应,他们赞赏 Ubuntu在过去二十年以每两年一次的频率持续发布长期支持版本的可靠历史,并提供广泛的社区 […]