Sicheres Fundament für moderne Softwareentwicklung
Die Flut an CVEs (Common Vulnerabilities and Exposures) in Open-Source-Images verursacht Ineffizienz und Unsicherheit in IT-Abteilungen. Das amerikanische Start-up Chainguard setzt genau hier an und bietet einen Katalog von über 1700 Images, die dank minimalistischer Builds und lückenloser Transparenz (SBOMs) ein Ergebnis von ∼0 CVEs liefern. Wir unterstützen die Verbesserung der Container-Sicherheit und sind erster offizieller Chainguard-Partner in der Schweiz.
Sicherheitsprobleme in der Supply Chain
Open Source Software ist das Fundament der modernen Softwareentwicklung und Infrastruktur, besonders im Bereich containerbasierter Applikationen. Viele Unternehmen stützen ihre Produkte und Infrastruktur massgeblich auf diese Komponenten. Das Management der gesamten Codebasis, einschliesslich der Aktualisierung und Absicherung nicht selbst entwickelten Open Source Codes, stellt IT- und Security-Abteilungen jedoch vor grosse Herausforderungen. Zur selben Zeit werden Sicherheitslücken in der Supply Chain immer häufiger.
In der Praxis erleben wir bei Puzzle oft, dass Sicherheitskonzepte für Container-Images an ihre Grenzen stossen: Scanner zeigen regelmässig über 50 CVEs an. Diese Flut an Meldungen führt häufig dazu, dass Risiken ignoriert werden und stattdessen nur bei grossen Sicherheitsvorfällen panisch gepatcht wird. Es fehlt eine proaktive, grundlegende Lösung.
Chainguard: Die Technologie für sichere Container
Eine innovative Lösung für dieses Problem setzt auf einen fundamental anderen Ansatz beim Bau von Container-Images. Der Schlüssel liegt in der Bereitstellung minimaler, sicherer Betriebssysteme, wie dem von Chainguard entwickelten Wolfi.
Auf diesem minimalen Fundament werden verschiedenste Open-Source-Images erstellt. Diese Images beinhalten ausschliesslich die Bausteine, die zum Bau der Software benötigt werden. Der Upstream-Code wird täglich von Grund auf kompiliert. Dadurch können die neuesten Versionen aller Abhängigkeiten eingebunden und eine lückenlose Dokumentation gewährleistet werden. Es werden ausserdem vollständige SBOMs (Software Bill of Materials) mitgeliefert, die klare Nachweise und Herkunftsangaben für jedes Image haben. Die Images werden auf ein gleichbleibendes Verhalten getestet und täglich neu gebaut. Das Resultat dieses Prozesses sind Container Images mit CVEs.
Der Chainguard-Katalog umfasst über 1700 sichere Alternativen zu gängigen Open-Source-Images. Über Container Images hinaus erweitert sich der Katalog kontinuierlich und umfasst nun auch Libraries (Beta) sowie VM-Images (Early Access). Chainguard bietet auch Lösungen für den Ersatz von nicht mehr frei verfügbaren Images und Helm Charts von Bitnami und Minio.
Unsere Partnerschaft
Wir bei Puzzle sind überzeugt, dass dieser technologische Ansatz einen Wandel in der Containersicherheit bedeutet. Als erster Chainguard-Partner in der Schweiz bieten wir unseren Kund:innen ab sofort Subscriptions für den Image-Katalog an. Damit können wir unseren Kund:innen ein sicheres Fundament für ihre Softwareentwicklung bereitstellen. Unsere Puzzler unterstützen gerne mit ihrem Knowhow für eine reibungslose Migration und Integration dieser Technologie.
