- प्रोडक्शन वातावरण में सुरक्षा कमजोरियों (CVE) को न्यूनतम करने के लिए डिज़ाइन किया गया हल्का कंटेनर इमेज संग्रह
- Chainguard के apko और Wolfi पैकेजों पर आधारित, नवीनतम सुरक्षा पैच शामिल करने के लिए रोज़ाना रीबिल्ड किया जाता है
- अनावश्यक पैकेज हटाकर attack surface को न्यूनतम किया गया है, और अधिकांश इमेज में सिर्फ 0~5 या उससे कम CVE शामिल हैं
- Python, Node.js, Bun, Go, Nginx, HTTPD, Jenkins, Redis, PostgreSQL, SQLite आदि मुख्य runtime और services के लिए इमेज उपलब्ध
- हर इमेज non-root user के रूप में चलती है, और डिफ़ॉल्ट रूप से shell शामिल नहीं होता
- सुरक्षा-केंद्रित डिज़ाइन
- CVE gate पास न होने पर बिल्ड को विफल माना जाता है
- cosign-आधारित signing और SBOM (Software Bill of Materials) का स्वचालित निर्माण
- सभी इमेज Sigstore की keyless signing से सत्यापित की जा सकती हैं
- बिल्ड पाइपलाइन संरचना
- Wolfi पैकेज → apko से OCI इमेज निर्माण → Trivy से CVE स्कैन → cosign+SBOM से signing और वितरण
- Jenkins, Redis आदि को melange के माध्यम से source build के बाद इंटीग्रेट किया जाता है
- स्वचालित अपडेट और मेंटेनेंस तरीका
- रोज़ UTC 2 बजे ऑटोमेटिक बिल्ड के ज़रिए नवीनतम CVE पैच लागू
- main branch merge होने पर configuration बदलावों की स्वतः deployment
- manual trigger के ज़रिए आपातकालीन रीबिल्ड का समर्थन
- सुरक्षा और compliance प्रतिक्रिया प्रभाव
- SOC2, FedRAMP, PCI-DSS आदि के लिए security audit और regulatory compliance को आसान बनाता है
- Debian/Ubuntu की तुलना में patch लागू करने की गति 10 गुना से अधिक बेहतर (48 घंटे के भीतर)
- signature verification और SBOM उपलब्धता से supply chain security मज़बूत होती है
- MIT लाइसेंस के आधार पर सार्वजनिक
- हर इमेज में शामिल third-party पैकेजों के लिए Apache-2.0, MIT, GPL, BSD आदि अलग-अलग लाइसेंस स्पष्ट किए गए हैं
- SBOM के माध्यम से सभी पैकेजों की लाइसेंस जानकारी की पुष्टि की जा सकती है
अभी कोई टिप्पणी नहीं है.