Oggi annunciamo la disponibilità generale (GA) di Red Hat Hardened Images. Si tratta di un catalogo di immagini per container a costo zero che distribuisce rapidamente correzioni di sicurezza. Aiuta i team a prevenire le CVE anziché inseguirle costantemente. Abbiamo raggiunto l’impegnativo obiettivo della riduzione e della protezione delle immagini. In questo modo il tuo team non dovrà più indagare sui falsi positivi e potrà concentrarsi su ciò che conta davvero: il tuo codice e la sicurezza delle tue applicazioni.

Abbiamo iniziato questo percorso con Project Hummingbird. Se hai seguito i progressi, saprai che abbiamo perfezionato i contenuti, le immagini e l'approccio alla distribuzione con centinaia di utenti che hanno usufruito dell'accesso in anteprima. Quello che era iniziato come un esperimento per ridurre la superficie di attacco dei container si è evoluto in un catalogo pronto per la produzione. Include oltre 45 immagini con più di 150 varianti, tutte basate sulla pipeline software affidabile di Red Hat. Project Hummingbird continuerà a essere il motore dell’innovazione che produce Red Hat Hardened Images. 

Hardened Images catalog

Figura 1. Catalogo Red Hat Hardened Images

Il problema: il volume delle CVE incontra la tolleranza zero

Abbiamo avviato Project Hummingbird dopo aver parlato con decine di organizzazioni e aver riscontrato ripetutamente la stessa frustrazione: la sicurezza dei container era diventata una dispendiosa perdita di tempo.

Il numero di CVE è esploso oltre quanto i team possano ragionevolmente gestire. Attualmente, vengono segnalate in media circa 160 CVE ogni giorno. Tra gli scanner automatizzati e gli strumenti di rilevamento assistiti dall'IA, prevediamo che il numero di segnalazioni continuerà a crescere. Una singola scansione dei container può segnalare centinaia di vulnerabilità. Capire quali siano davvero importanti in una vasta infrastruttura che gestisce decine di migliaia di container può sembrare un'impresa vana.

La tolleranza al rischio sta diminuendo a causa delle pressioni normative, geopolitiche e legate all'IA. I framework di conformità e i criteri di sicurezza aziendali richiedono sempre più spesso che i team affrontino ogni vulnerabilità segnalata, a prescindere dalla sua effettiva sfruttabilità. Quando le immagini dei container contengono pacchetti e dipendenze non necessari, può risultare impossibile soddisfare questo standard.

La soluzione: superficie ridotta, correzioni più rapide

Red Hat Hardened Images nasce per aiutare gli utenti che risentono della pressione di questa nuova realtà. Meno software significa meno CVE. Quando l'immagine contiene solo ciò che serve per l'esecuzione dell'applicazione, la valutazione diventa più semplice: se è presente nell'immagine è importante. E quando è importante, la nostra pipeline altamente autonoma fornisce correzioni rapide.

Red Hat Hardened Images si concentra sulle tecnologie per le quali Red Hat vanta esperienza di produzione ed interazione upstream, offrendo un supporto significativo. Il catalogo GA include linguaggi, runtime, database, server web e utilità che alimentano i carichi di lavoro aziendali, tra cui Python, Node.js, Go, Java, .NET, PostgreSQL, Valkey, Nginx e HAProxy. Questi rappresentano i componenti open source principali che le organizzazioni indicano costantemente come fondamentali per le proprie applicazioni.

Stiamo ampliando il catalogo e lo facciamo in modo ponderato. Quando aggiungiamo una nuova immagine, ci impegniamo a monitorare da vicino la tecnologia principale e tutte le dipendenze e le vulnerabilità pertinenti, in modo da poter fornire supporto con lo stesso rigore che applichiamo al resto del catalogo. Diamo priorità alla qualità rispetto alla quantità.

Ogni immagine segue un approccio di consolidamento coerente. 

  • Architettura distroless: le immagini non includono shell per impostazione predefinita, né gestori di pacchetti o componenti non necessari che espandono la superficie di attacco.
  • Più varianti: le immagini predefinite mirano a trovare l'equilibrio tra i principi distroless e la compatibilità con le immagini upstream esistenti. Le immagini del builder sono rafforzate e consentono l'installazione dei pacchetti per personalizzare le versioni. Esistono anche varianti convalidate da FIPS per ambienti regolamentati e build specifiche per l'architettura (AMD64 e Arm64), per diverse destinazioni di deployment.
  • Consolidamento olistico: ogni aspetto delle immagini è consolidato, dalla provenienza della sorgente e le opzioni del compilatore fino alle impostazioni predefinite di sicurezza e alla minimizzazione generale. Il consolidamento viene eseguito a tutti i livelli e la configurazione relativa alla conformità è verificabile tramite OpenSCAP.
  • Catena di distribuzione affidabile: le dipendenze provengono dalla la pipeline di sviluppo SLSA3 di Red Hat, per garantire una catena di attendibilità verificabile dalla sorgente all'artefatto.
  • Risoluzione automatizzata dei problemi: le nostre pipeline monitorano gli upstream e i feed di sicurezza per creare, testare e distribuire correzioni, in genere entro poche ore dalla risoluzione di una vulnerabilità.

Prova Red Hat Hardened Images oggi stesso

Red Hat Hardened Images è ora disponibile a livello generale. Ogni immagine nel catalogo è gratuita e può essere utilizzata su qualsiasi distribuzione Linux, versione di Kubernetes o motore per container. Se ti interessano immagini specifiche che al momento non sono disponibili, faccelo sapere tramite il pulsante per richiedere un'immagine sul sito web.

Sappiamo anche che alcuni utenti hanno bisogno di opzioni per il ciclo di vita più lunghe rispetto a quelle attualmente fornite dagli upstream. Nel prossimo futuro, prevediamo di offrire immagini di supporto a lungo termine (LTS) per soddisfare queste esigenze. LTS sarà facoltativo e reso disponibile tramite un modello di sottoscrizione semplice.

Ringraziamo le centinaia di utenti con accesso in anteprima che hanno testato queste immagini e segnalato problemi, spingendoci a perfezionare il nostro approccio. Il tuo feedback ha dato forma a ciò che pubblichiamo oggi.

Se non conosci Red Hat Hardened Images, puoi iniziare esplorando il catalogo.

Prova prodotto

Red Hat Enterprise Linux | Versione di prova

Versione di Red Hat Enterprise Linux che permette di orchestrare le risorse hardware; si può eseguire in sistemi fisici, nel cloud o come guest di un hypervisor.

Sugli autori

Ben Breard is a Senior Principal Product Manager at Red Hat, focusing on Red Hat Enterprise Linux and Edge Offerings.

Container engineer at Red Hat, bass player, music lover.

Robert is a Software Engineer at Red Hat, building Hardened Images and playing with all things cloud and containers.

UI_Icon-Red_Hat-Close-A-Black-RGB

Scopri di più

Ricerca per canale

automation icon

Automazione

Novità sull'automazione IT di tecnologie, team e ambienti

AI icon

Intelligenza artificiale

Aggiornamenti sulle piattaforme che consentono alle aziende di eseguire carichi di lavoro IA ovunque

open hybrid cloud icon

Hybrid cloud open source

Scopri come affrontare il futuro in modo più agile grazie al cloud ibrido

security icon

Sicurezza

Le ultime novità sulle nostre soluzioni per ridurre i rischi nelle tecnologie e negli ambienti

edge icon

Edge computing

Aggiornamenti sulle piattaforme che semplificano l'operatività edge

Infrastructure icon

Infrastruttura

Le ultime novità sulla piattaforma Linux aziendale leader a livello mondiale

application development icon

Applicazioni

Approfondimenti sulle nostre soluzioni alle sfide applicative più difficili

Virtualization icon

Virtualizzazione

Il futuro della virtualizzazione negli ambienti aziendali per i carichi di lavoro on premise o nel cloud