Minimal - Koleksi image container dengan kerentanan CVE yang diminimalkan

 (github.com/rtvkiz)
10 poin oleh xguru 2026-02-03 | 2 komentar | Bagikan ke WhatsApp
  • Kumpulan image container ringan yang dirancang untuk meminimalkan kerentanan keamanan (CVE) di lingkungan produksi
  • Dibangun ulang setiap hari berdasarkan apko milik Chainguard dan paket Wolfi untuk mencerminkan patch keamanan terbaru
  • Menghapus paket yang tidak perlu untuk meminimalkan permukaan serangan, dan sebagian besar image hanya berisi 0~5 CVE atau kurang
  • Menyediakan image untuk runtime dan layanan utama seperti Python, Node.js, Bun, Go, Nginx, HTTPD, Jenkins, Redis, PostgreSQL, dan SQLite
    • Setiap image berjalan sebagai pengguna non-root, dan secara bawaan tidak menyertakan shell
  • Desain yang berfokus pada keamanan
    • Jika tidak lolos CVE gate, build akan gagal
    • Penandatanganan berbasis cosign dan pembuatan SBOM (Software Bill of Materials) otomatis
    • Semua image dapat diverifikasi dengan penandatanganan keyless milik Sigstore
  • Struktur pipeline build
    • Paket Wolfi → pembuatan image OCI dengan apko → pemindaian CVE dengan Trivy → penandatanganan dan distribusi dengan cosign+SBOM
    • Jenkins, Redis, dan lainnya diintegrasikan setelah source dibangun melalui melange
  • Metode pembaruan otomatis dan pemeliharaan
    • Build otomatis setiap hari pada pukul 02:00 UTC untuk menerapkan patch CVE terbaru
    • Perubahan konfigurasi otomatis didistribusikan saat merge ke branch main
    • Mendukung rebuild darurat melalui trigger manual
  • Dampak pada keamanan dan kepatuhan
    • Mempermudah audit keamanan dan kepatuhan regulasi seperti SOC2, FedRAMP, dan PCI-DSS
    • Dibandingkan Debian/Ubuntu, kecepatan penerapan patch meningkat lebih dari 10x (dalam 48 jam)
    • Verifikasi tanda tangan dan penyediaan SBOM memperkuat keamanan rantai pasok
  • Dirilis dengan basis lisensi MIT
    • Paket pihak ketiga yang disertakan dalam tiap image mencantumkan lisensi masing-masing seperti Apache-2.0, MIT, GPL, dan BSD
    • Informasi lisensi semua paket dapat diperiksa melalui SBOM

Bacaan terkait

2 komentar

 
click 2026-02-03

Belakangan ini serangan rantai pasok library juga sering terjadi, jadi sepertinya memperbarui ke versi terbaru setiap hari justru tidak selalu lebih aman.
 
t7vonn 2026-02-03

Saya kurang paham bedanya dengan yang ini: https://github.com/GoogleContainerTools/distroless