Reforçada, pronta e sem custo: a segurança para containers evoluiu

Hoje, anunciamos a disponibilidade geral (GA) do Red Hat Hardened Images. Este é um catálogo de imagens de container sem custo que fornece correções de segurança rapidamente, ajudando as equipes a se anteciparem aos CVEs em vez de persegui-los constantemente. Cuidamos do trabalho pesado de redução e reforço de imagens para que suas equipes parem de buscar falsos positivos e foquem no que realmente importa: seu código e a segurança de suas aplicações.

Começamos essa jornada com o Project Hummingbird. Se você estiver acompanhando, viu que refinamos o conteúdo, as imagens e a abordagem de entrega com centenas de usuários de acesso antecipado. O que começou como um experimento para reduzir a superfície de ataque de containers evoluiu para um catálogo pronto para produção com mais de 45 imagens que abrangem mais de 150 variantes, todas criadas no pipeline de software confiável da Red Hat. O Project Hummingbird continuará sendo o mecanismo de inovação que produz o Red Hat Hardened Images. 

Figura 1. Catálogo do Hardened Images

O problema: volume de CVE encontra a tolerância zero

Começamos o Project Hummingbird após conversar com dezenas de organizações e ouvir a mesma frustração repetidamente: a segurança de containers se tornou um desperdício de tempo caro.

As contagens de CVE explodiram além do que as equipes podem gerenciar razoavelmente. Atualmente, há uma média de cerca de 160 CVEs relatados diariamente e, entre scanners automatizados e ferramentas de descoberta assistidas por IA, esperamos que esse número continue a subir. Um único scan de containers pode sinalizar centenas de vulnerabilidades. Descobrir quais realmente importam em um grande parque que executa dezenas de milhares de containers pode parecer um esforço inútil.

A tolerância a riscos está diminuindo sob pressões regulatórias, geopolíticas e relacionadas à IA. Frameworks de conformidade e políticas de segurança organizacional exigem cada vez mais que as equipes tratem cada vulnerabilidade sinalizada, independentemente de ser explorável. Quando as imagens de container contêm pacotes e dependências desnecessários, pode ser impossível cumprir esse padrão.

A solução: menor superfície, correções mais rápidas

O Red Hat Hardened Images existe para ajudar usuários que sentem a pressão dessa nova realidade. Menos software significa menos CVEs. Quando sua imagem contém apenas o que sua aplicação precisa para ser executada, a triagem fica mais simples: se está na imagem, é importante. E, quando importa, nosso pipeline altamente autônomo entrega correções rapidamente.

O Red Hat Hardened Images foca em tecnologias nas quais a Red Hat tem engajamento upstream e experiência de produção, podendo oferecer suporte significativo. O catálogo de GA abrange linguagens, runtimes, bancos de dados, servidores web e utilitários que potencializam cargas de trabalho empresariais, incluindo Python, Node.js, Go, Java, .NET, PostgreSQL, Valkey, Nginx e HAProxy, entre outros. Eles representam os principais componentes open source que as organizações consistentemente nos dizem ser mais importantes como base para suas aplicações.

Estamos expandindo o catálogo deliberadamente. Ao adicionar uma nova imagem, assumimos o compromisso de acompanhar de perto a tecnologia principal e todas as dependências e vulnerabilidades relevantes. Assim, oferecemos suporte com o mesmo rigor aplicado ao restante do catálogo. Priorizamos a qualidade em vez da quantidade.

Siga uma abordagem de proteção consistente para cada imagem: 

• Arquitetura distroless: As imagens não incluem shell por padrão, gerenciador de pacotes ou componentes desnecessários que expandam a superfície de ataque.
• Muitas variantes: As imagens padrão buscam equilibrar os princípios de distroless com a compatibilidade com imagens upstream existentes. As imagens de builder mantêm a proteção e permitem a instalação de pacotes para personalizar builds. Também há variantes validadas pelo FIPS para ambientes regulamentados e builds específicos de arquitetura (AMD64 e Arm64) para diferentes destinos de implantação.
• Proteção holística: tudo nas imagens é protegido, desde a procedência da fonte e as opções do compilador até os padrões de segurança das imagens e a minimização geral. A proteção ocorre em todos os níveis, e a configuração de conformidade é verificável via OpenSCAP.
• Cadeia de suprimentos confiável: as dependências vêm do Red Hat's SLSA3 build pipeline, mantendo uma cadeia de confiança verificável da origem ao artefato.
• Remediação automatizada: nossos pipelines rastreiam upstreams e feeds de segurança para criar, testar e entregar correções, geralmente em poucas horas após a correção de uma vulnerabilidade.

Teste o Red Hat Hardened Images hoje mesmo

O Red Hat Hardened Images agora está em disponibilidade geral. O uso de cada imagem no catálogo é gratuito e elas podem ser utilizadas em qualquer distribuição Linux, versão do Kubernetes ou engine de containers. Caso tenha interesse em imagens específicas não oferecidas no momento, informe-nos pelo botão Request an image no site.

Também sabemos que alguns usuários precisam de ciclos de vida mais longos do que os oferecidos atualmente pelos upstreams. Em um futuro próximo, planejamos oferecer imagens com suporte de longo prazo (LTS) para atender a essas necessidades. O LTS será opcional e disponibilizado por meio de um modelo de subscrição simples.

Agradecemos às centenas de usuários com acesso antecipado que testaram essas imagens, relataram problemas e nos incentivaram a refinar nossa abordagem. Seu feedback moldou o que estamos lançando hoje.

Quem ainda não conhece o Red Hat Hardened Images pode começar explorando o catálogo.