BellSoft 近期推出了一款新的容器安全解决方案,旨在应对企业软件供应链中日益严峻的安全漏洞危机。
该方案名为“强化镜像”(Hardened Images),并在 KubeCon 2025 上正式发布。它将 Java 运行时优化、操作系统加固和主动式 CVE 修复相结合。据官方新闻稿称,这种统一方法可将已知漏洞减少 95%,同时将资源消耗降低高达 30%。
容器安全对开发团队而言一直是个持续挑战。BellSoft 引用 NetRise 的行业数据指出,一个典型的容器镜像可能包含超过 600 个已知漏洞。Java 工作负载面临特定风险;公告称,近一半的 Java 服务目前包含已知且已被利用的漏洞,这一比例显著高于 Go 等其他语言。这项新发布试图通过在容器生命周期中直接嵌入安全控制来缓解这些风险,以满足日益增长的“安全左移”策略需求。
这些镜像的技术基础是 Alpaquita Linux,这是一个由 BellSoft 创建的轻量级发行版,使用 BusyBox 和 APK 包管理工具。这解决了一个常见的迁移痛点:开发人员从标准 Linux 发行版(如 CentOS)迁移到极简的、仅使用 musl 的环境(如 Alpine Linux)时,经常面临兼容性问题。
为实现加固,镜像通过移除包管理器和非必要组件实现了最小化,从而有效地锁定配置。这种不可变性旨在防止攻击者引入恶意软件或篡改运行时环境。该解决方案还包含了详细的软件物料清单(SBOM),以辅助审计和满足法规遵从性标准。
BellSoft 表示,迁移到其 Liberica JDK Lite(已包含在这些镜像中)的组织可以观察到显著的效率提升。新闻稿指出,内部基准测试显示 RAM 和磁盘空间使用量减少了 30%。通过内部处理补丁开发,而非仅仅依赖上游发行版,BellSoft 声称其对于关键 CVE 的修复速度,比标准的社区维护镜像更快。
在云原生应用架构的实践中,持续集成和持续交付(CI/CD)是保障交付速度和质量的基石。然而,传统的DevOps流程往往在安全层面存在滞后。BellSoft 的产品经理在新闻稿中表示:“‘BellSoft 强化镜像’是对市场对安全、高性能容器解决方案日益增长需求的回应。通过结合专业的 Java 运行时优化、主动式 CVE 修复以及轻量级、灵活的基础设施,我们的强化镜像为企业提供了一个安全、审计就绪的平台,能够减少漏洞、提升性能并简化迁移流程。”
随着供应链安全成为企业优先事项,强化容器镜像市场已显著增长。BellSoft 的解决方案进入了一个由成熟参与者构成的竞争格局。例如,Chainguard 基于其 Wolfi OS 提供了类似的低 CVE 镜像套件,重点强调软件供应链的完整性。Docker 也提供“强化镜像”,而谷歌的“Distroless”镜像则开创了移除 Shell 和包管理器的概念。
然而,Distroless 镜像因缺乏 Shell 而难以调试,常受到批评。BellSoft 将其解决方案定位为面向 Java 企业用户的更灵活选择,特别利用了其作为顶级 OpenJDK 贡献者的专业知识,在优化操作系统的同时优化运行时层。这提供了介于 Distroless 极致极简主义和标准镜像可用性之间的中间地带。
BellSoft 强化镜像现已推出三个层级。免费的社区版在 Docker Hub 上提供强化的 Liberica 运行时容器。标准版和高级版则提供更广泛的语言支持,包括 GraalVM、Go 和 Python,以及针对关键 CVE 修复的技术支持和服务等级协议。 | 
发表于 昨天 08:01
|
查看: 7|
回复: 0
