经过强化、就绪且免费：容器安全防护再升级

今天，我们宣布正式发布（GA）红帽强化镜像。这是一个免费的容器镜像目录，可快速交付安全修复方案，助力团队抢先一步应对通用漏洞披露（CVE）问题，而不是一直跟在漏洞后面补救。我们已完成镜像精简与强化这项繁重工作，让团队不再疲于处理误报，得以专注于真正重要的事情：您的代码以及应用的安全性。

我们以 Project Hummingbird 之名开启了这段旅程。如果您一直在关注该项目，就会看到我们与数百名抢先体验用户一起，不断优化内容、镜像和交付方式。这个最初旨在缩小容器攻击面的实验项目，如今已演变为一个包含超过 45 个镜像、涵盖 150 多种变体的生产就绪型目录，一切均基于红帽值得信赖的软件管道构建。Project Hummingbird 将持续作为创新引擎，生成红帽强化镜像。 

图 1.强化镜像目录

问题：CVE 数量激增与零容忍政策

我们之所以启动 Project Hummingbird，是因为在与数十家企业组织交流过程中，反复听到相同的困扰：容器安全防护已然成为一个又烧钱、又耗时间的无底洞。

CVE 数量激增，已超出团队能够合理应对的范畴。目前，平均每天报告的 CVE 漏洞数量约为 160 个，随着自动化扫描器和 AI 辅助发现工具的普及，预计这一数字还将持续攀升。一次容器扫描可标记数百个漏洞。在运行着成千上万个容器的大规模环境中，想搞清楚哪些漏洞真正致命，无异于逆水行舟，费尽全力却难有进展。

在监管、地缘政治及 AI 相关的多重压力下，风险容忍度正不断下降。合规框架和企业组织级安全防护策略越来越多地要求团队修复每一个被标记的漏洞，无论它是否真的可被利用。当容器镜像包含不必要的软件包和依赖项时，可能会导致无法满足此标准。

解决方案：更小的攻击面，更快的修复速度

我们之所以推出红帽强化镜像，是为了帮助那些感受到这一新现实压力的用户。软件越少，意味着 CVE 漏洞就越少。当您的镜像中仅包含应用运行所需的内容时，漏洞分类问题就会变得更加简单：只要在镜像中，就值得关注。而一旦确认某个漏洞值得关注，我们高度自动化的管道将迅速提供修复方案。

红帽强化镜像专注于红帽拥有上游参与和生产经验，并能提供切实支持的技术领域。GA 目录涵盖赋能企业工作负载的语言、运行时、数据库、Web 服务器和实用程序，包括 Python、Node.js、Go、Java、.NET、PostgreSQL、Valkey、Nginx 和 HAProxy 等。这些正是企业组织一再向我们强调的、作为其应用基础的核心开源组件。

我们正在有计划地扩充产品目录。每当新增一个镜像，我们便承诺将密切跟踪其核心技术以及所有相关依赖项和漏洞，从而以与目录中其他镜像同样严谨的标准提供支持。我们始终秉持质量高于数量的原则。

每个镜像都遵循一致的强化方法： 

• 无发行版架构：镜像默认不包含 shell、软件包管理器，以及任何会扩大攻击面的不必要组件。
• 多种变体：默认镜像的目标是在无发行版原则与现有上游镜像兼容性之间取得平衡。构建器镜像保留强化措施，并支持软件包安装以帮助实现自定义构建。此外，还有适用于受严格监管环境的 FIPS 验证变体，以及适用于不同部署目标的特定架构版本（AMD64 和 Arm64）。
• 全面强化：镜像的各个方面均经过强化，从源代码来源和编译器选项，到镜像安全防护默认设置和整体精简，无一遗漏。各个级别都进行了强化，并且与合规性相关的配置可通过 OpenSCAP 进行验证。
• 可信供应链：依赖项来自红帽的 SLSA3 构建管道，维护着从源代码到工件的可验证信任链。
• 自动化修复：我们的管道会跟踪上游项目和安全情报源，以便构建、测试和交付修复方案，通常在漏洞修复后的几小时内即可完成这些工作。

立即试用红帽强化镜像

红帽强化镜像现已正式发布。目录中的所有镜像均可免费使用，并且可在任何 Linux 发行版、Kubernetes 版本或容器引擎上使用。如果您对当前未提供的特定镜像感兴趣，请通过网站上的“请求镜像”按钮告诉我们。

我们也了解到，部分用户需要比上游当前提供的生命周期更长的选项。在不久的将来，我们计划提供长期支持（LTS）镜像来满足这些需求。LTS 将是可选服务，并通过简单的订阅模式提供。

我们衷心感谢数百名抢先体验用户测试这些镜像、报告问题，并推动我们不断完善方案。今天发布的成果，离不开大家的反馈。

刚接触红帽强化镜像的用户，可以从浏览目录着手。