Minimal - CVE açıklarını en aza indiren konteyner imaj koleksiyonu

 (github.com/rtvkiz)
10 puan yazan xguru 2026-02-03 | 2 yorum | WhatsApp'ta paylaş
  • Prodüksiyon ortamlarındaki güvenlik açıklarını (CVE) en aza indirmek için tasarlanmış hafif bir konteyner imajları koleksiyonu
  • Chainguard'ün apko ve Wolfi paketleri temel alınarak her gün yeniden build edilir ve en güncel güvenlik yamalarını yansıtır
  • Gereksiz paketler kaldırılarak saldırı yüzeyi en aza indirilir ve imajların çoğu yalnızca 0~5 veya daha az CVE içerir
  • Python, Node.js, Bun, Go, Nginx, HTTPD, Jenkins, Redis, PostgreSQL, SQLite gibi başlıca runtime ve servisler için imajlar sunar
    • Her imaj non-root kullanıcı olarak çalışır ve varsayılan olarak shell içermez
  • Güvenlik odaklı tasarım
    • CVE gate aşamasını geçemezse build başarısız sayılır
    • cosign tabanlı imzalama ve SBOM (Software Bill of Materials) otomatik oluşturma
    • Tüm imajlar Sigstore'un keyless imzası ile doğrulanabilir
  • Build pipeline yapısı
    • Wolfi paketleri → apko ile OCI imajı oluşturma → Trivy ile CVE taraması → cosign+SBOM ile imzalama ve dağıtım
    • Jenkins, Redis vb. bileşenler melange aracılığıyla kaynaktan build edilip entegre edilir
  • Otomatik güncelleme ve bakım yöntemi
    • Her gün UTC 02:00'de otomatik build ile en güncel CVE yamaları yansıtılır
    • main branch'ine merge edildiğinde yapılandırma değişiklikleri otomatik dağıtılır
    • Manuel tetikleme ile acil yeniden build desteği sunulur
  • Güvenlik ve uyumluluk açısından etkileri
    • SOC2, FedRAMP, PCI-DSS gibi güvenlik denetimleri ve düzenleyici uyumluluk süreçlerini kolaylaştırır
    • Debian/Ubuntu'ya kıyasla yama uygulama hızı 10 kattan fazla artırılmıştır (48 saat içinde)
    • İmza doğrulaması ve SBOM sağlanması ile tedarik zinciri güvenliği güçlendirilir
  • MIT lisansı ile açık olarak sunulur
    • Her imajda yer alan üçüncü taraf paketler için Apache-2.0, MIT, GPL, BSD vb. ayrı lisanslar belirtilir
    • SBOM üzerinden tüm paketlerin lisans bilgileri doğrulanabilir

İlgili okumalar

2 yorum

 
click 2026-02-03

Bu aralar kütüphane tedarik zinciri saldırıları da çok arttığı için, her gün en son sürüme güncellemek bile bazen daha güvenli olmayabiliyor gibi görünüyor.
 
t7vonn 2026-02-03

https://github.com/GoogleContainerTools/distroless Bununla tam olarak ne farkı olduğunu pek anlayamadım.