KubeCon Europe (Londres) — Dustin Kirkland, vice-président de l’ingénierie chez Chainguard, que j’ai rencontré au KubeCon Europe, lance une nouvelle distribution Linux de sa société, nommée Chainguard OS.
« Nous avons construit notre produit autour de conteneurs renforcés, pas de machines virtuelles, pas de distro complète » dit-il.
Auparavant, l’entreprise de conteneurs sécurisés basée à Kirkland (Wash.) avait lancé Wolfi, une « distribution » contenant tous les logiciels nécessaires à un conteneur, à l’exception de Linux.
Et dernièrement, Chainguard a envisagé de créer son propre Linux d’entreprise sécurisé.
Alors Chainguard a t-il procédé ? Comme l’a expliqué M. Kroah-Hartman, vous devez toujours utiliser le dernier noyau stable à long terme (LTS). Le mot clé ici est « dernier ». Il ne suffit pas d’utiliser un LTS. Vous devez utiliser la version la plus récente pour être aussi sûr que possible.
Mettre continuellement à jour la dernière version du noyau
« La réponse est simple, même si elle est douloureuse : Mettre continuellement à jour la dernière version du noyau, qu’il s’agisse d’une version majeure ou d’une version stable » dit Dustin Kirkland.
Kroah-Hartman a souvent dit : « Tout bogue a le potentiel d’être un problème de sécurité au niveau du noyau ». Jonathan Corbet, développeur du noyau Linux et rédacteur en chef de LWN, a ajouté : « Dans le noyau, à peu près n’importe quel bogue, si vous êtes assez intelligent, peut être exploité pour compromettre le système. Le noyau transforme de nombreux bogues ordinaires en vulnérabilités ».
Maintenant que Linux est chargé de publier tous ses propres CVE, la dernière version du noyau LTS reçoit les correctifs pour tous les bogues connus dès qu’ils sont disponibles. Ainsi, en suivant l’arborescence du noyau LTS et en publiant immédiatement une version roulante de Linux, vous pouvez être certain que votre système d’exploitation Chainguard est aussi sûr qu’il est humainement possible de l’être.
Une mise à jour très particulière
De plus, Chainguard OS utilise le système de construction automatisé de Chainguard, la Chainguard Factory, pour éliminer les logiciels inutiles et réduire la surface d’attaque. Cette conception garantit que le système d’exploitation contient moins de dépendances. Ce qui réduit la probabilité de failles de sécurité.
Le système d’exploitation est également conçu avec une infrastructure immuable à confiance zéro. Cette approche renforce la sécurité en garantissant que chaque composant est vérifié et fiable, ce qui minimise le risque d’attaques de la chaîne d’approvisionnement. Ainsi, lorsqu’un nouveau correctif est publié, vous ne corrigez pas du tout votre système d’exploitation. Au lieu de cela, vous le remplacez par un nouveau modèle totalement sécurisé.
Chainguard OS est également vérifié en permanence pour s’assurer qu’il reste exempt de vulnérabilités. Ce processus de vérification continue permet de maintenir un environnement de développement et de déploiement de logiciels sécurisé. Par exemple, si de nouvelles failles de sécurité sont découvertes dans Python, mais pas dans Linux, l’ensemble du système d’exploitation, Python et les autres programmes logiciels sont retirés en tant que paquet unique et remplacés.
Ne pas avoir à corriger les vulnérabilités existantes
Chainguard OS fait partie d’une stratégie plus large de Chainguard visant à sécuriser la chaîne d’approvisionnement en logiciels. L’entreprise a déjà réalisé des progrès significatifs avec ses images et bibliothèques de conteneurs, qui sont conçues pour éliminer les vulnérabilités et fournir une base sécurisée aux développeurs.
En étendant cette approche au niveau du système d’exploitation, Chainguard permet aux développeurs de se concentrer sur la création de logiciels sécurisés sans avoir à corriger les vulnérabilités existantes.
Pourquoi tout le monde ne le fait-il pas ? Si vous dépendez d’une version particulière de Linux pour votre entreprise, ce qui est le cas de nombreuses entreprises, vous ne voulez pas que les fondations de votre système d’exploitation changent constamment.
Chainguard OS n’est pas disponible en tant que distribution autonome
C’est pourquoi même les distros Linux obsolètes depuis longtemps, comme CentOS, ont encore des utilisateurs. Ils comptent sur TuxCare Endless Life Cycle, OpenLogic CentOS End of Life Support, ou SUSE Multi-Linux Support, anciennement Liberty Linux, pour obtenir de l’aide.
Mais si la sécurité est la priorité absolue pour les charges de travail Linux de votre entreprise, vous voudrez utiliser les images Chainguard, qui sont construites sur Chainguard OS. Chainguard OS n’est pas disponible en tant que distribution autonome. Ce n’est pas le marché de Chainguard.
Cependant, si vous leur demandez gentiment, ils y penseront peut-être. En attendant, si vous travaillez principalement dans le cloud, jetez un coup d’œil à leurs images de conteneurs, bibliothèques et machines virtuelles (VM). Vous vous en féliciterez.