Безпека ланцюжка поставок програмного забезпечення стала головною проблемою для розробників, інженерів DevOps та ІТ-керівників. Гучні випадки злому та компрометації залежностей показали, що компоненти з відкритим кодом можуть становити ризик, якщо їх належним чином не перевіряти та не підтримувати. Хоча контейнеризація стала звичною у сучасній розробці та розгортанні, вона може мати недоліки щодо відтворюваності та безпеки.

Існує гостра потреба в контейнерних збірках, які не лише прості в розгортанні, але й безпечні, повторювані та підтримуються довгостроково проти нових загроз – саме тому Canonical представляє Container Build Service.

Проблема безпеки відкритого коду

Використання програмного забезпечення з відкритим кодом (OSS) стає все більш поширеним у корпоративних середовищах. Аналіз показує, що воно складає близько 70% усього програмного забезпечення. OSS вже не вважається додатковим елементом, а скоріше фундаментом сучасних додатків. Ще цікавіше те, що 97% комерційних кодових баз інтегрували деякі компоненти OSS.

Однак разом із зростаючим використанням OSS, часто виявляються вразливості відкритого коду. Дослідження показують, що 84% кодових баз містять щонайменше одну відому вразливість, причому майже половина з них класифіковані як високо критичні. Звіт Black Duck’s 2025 про аналіз безпеки та ризиків відкритого коду (OSSRA) показав, що цей ризик збільшився через величезну кількість файлів з відкритим кодом.

За звітом Canonical та IDC, організації впроваджують OSS переважно для зменшення витрат (44%), прискорення розробки (36%) та підвищення надійності (31%). Попри це, більшість все ще отримує пакети безпосередньо з вищих реєстрів. Це означає, що відповідальність за виправлення лягає на ІТ-команди. Сім з десяти команд витрачають понад шість годин на тиждень на пошук та застосування оновлень безпеки.

Також збільшується частота атак на ланцюжки поставок. Дослідження Sonatype показало, як кількість атак на ланцюжки поставок програмного забезпечення подвоїлася лише у 2024 році, а згідно з дослідженням Blackberry, понад 75% організацій зазнали атаки, пов’язаної з ланцюжком поставок, протягом попереднього року.

Container Build Service від Canonical: відтворювані, посилені та безпечні образи

Canonical запустила новий Container Build Service, покликаний вирішувати вищезгадані проблеми. По суті, через цей сервіс інженери Canonical будуть створювати контейнерні образи на замовлення для будь-якого проекту або стеку з відкритим кодом, з безпекою та довговічністю як основними функціями. Будь то додаток з відкритим кодом чи базовий образ із усіма залежностями для вашого додатку, Canonical контейнеризує його відповідно до ваших специфікацій та посилить образ для виробничого використання.

Весь контейнер підтримується до 12 років

Кожен пакет і бібліотека у контейнері охоплені зобов’язаннями Canonical щодо безпеки. Ми маємо досвід виправлення критичних вразливостей у середньому протягом 24 годин, забезпечуючи швидке усунення нових загроз. На відміну від стандартних базових образів, які охоплюють лише компоненти ОС, сервіс Canonical включатиме всі необхідні компоненти з відкритим кодом у збірку контейнера.

Кожна збірка контейнерного образу має гарантований період оновлень безпеки до 12 років. Це значно перевищує типове вікно підтримки для громадських контейнерних образів. Таким чином, організації можуть запускати контейнери у виробництві протягом десятиліття з постійним патчем.

Справді портативні

Посилені образи розроблені для роботи на будь-якій популярній хостовій системі Linux або платформі Kubernetes. Незалежно від того, чи є ваша інфраструктура Ubuntu, RHEL, VMware або публічною хмарною службою Kubernetes, Canonical підтримуватиме ці образи на цій платформі.

Довгострокова відтворюваність та автоматизація

Конвеєр збірки Canonical підкреслює відтворюваність та автоматизацію. Після розробки та створення вашого контейнерного образу, автоматизований конвеєр постійно перебудовує та оновлює образ з останніми патчами безпеки. Це гарантує, що образ залишається актуальним з часом без ручного втручання.

Мінімальний розмір, оптимальна продуктивність

Визначною особливістю підходу Canonical є використання chiseled Ubuntu контейнерних образів. Chiseled образи – це підхід Canonical до концепції контейнера “distroless” – ультра-мінімальні образи, що включають лише необхідні компоненти для роботи вашого додатку і нічого більше. Вони створюються за допомогою інструменту з відкритим кодом Chisel, який ефективно вирізає додаток до його основних елементів.

Завдяки мінімалістичному підходу, chiseled образи значно менші, ніж типові образи Ubuntu. Це не лише означає менше зберігання та швидший перенос, але й менше місць для вразливостей. У вправі з оптимізації контейнера .NET, проведеної командою ACA у Microsoft, chiseling зменшив розмір образу Backend API з 226 МБ до 119 МБ (зменшення на 56,6%), і скоротив CVE з