Minimus推出开源计划,免费为开源项目提供安全容器镜像、SBOM服务及威胁情报,旨在解决开源供应链安全问题,降低攻击面,提升整体安全性。
译自:Minimus aims to solve one of open-source's long-festering problems
作者:Adrian Bridgwater
容器安全公司 Minimus 概述了一项新计划,旨在帮助开源项目维护者加强其软件供应链的安全性和完整性。
Minimus 开源计划 现在将允许符合条件的开源项目免费访问该公司的安全容器镜像、软件物料清单(SBOM)生成和分析服务,以及其威胁情报工具。
依赖于坚固的严谨性
使用容器的云原生工具和服务的软件开发人员都知道,对容器状态采取工业级加固方法至关重要;它可以防止特权升级或跨集群的横向移动(恶意行为者能够从一个受损节点移动到另一个节点),这可能导致数据丢失或更广泛的系统故障。
围绕模板构建的加固容器镜像根据严格的配置标准构建。它剥离了可能引入漏洞的无关和不必要的工具功能以及代码库。这种更小的攻击面意味着在实时生产 Kubernetes 集群中只能执行核心的、必要的进程。
Minimus 提醒我们,开源软件支撑着全球大部分关键数字基础设施。但该公司表示,在实际操作中,开源项目维护者缺乏企业习以为常的安全工具。
这项新计划旨在解决这个长期存在的安全问题,将现代供应链安全直接交到社区手中。
嗯,这听起来熟悉吗?
但这难道不会让这项倡议听起来有点像 Chainguard 吗?它专注于超小型加固容器镜像。仔细想想,Minimus 做的不就是 Red Hat 通过 Project Hummingbird 所做的事情吗?这是这家开源巨头针对开发人员提供的零 CVE(通用漏洞披露)最小化、加固镜像目录。
Minimus 的开发者倡导主管 Kat Cosgrove 澄清事实,并解释了她的组织在该领域的雄心壮志。
“Minimus 纯粹是一个安全平台。我们不想成为下一个 Red Hat。我们的优先事项略有不同,这可以在产品的一些突出功能中体现出来。例如,我们支持自托管注册表,包括完全气隙隔离。我们的镜像开箱即用,符合 CIS 和 NIST 基准,无需手动逐一验证,” Cosgrove 告诉 The New Stack。
她解释说,Minimus 包含一个高级威胁情报仪表板,允许开发人员通过可利用性等级优先缓解少数剩余的 CVE。该公司还包含了一系列集成,开发人员无需编写任何代码即可构建自己的工作流程。Cosgrove 表示,通过这种方式,可以轻松地将 Minimus 引入并构建到团队现有的工作流程中。
如果开源项目无法获得使软件更容易开发和更安全的所需工具,这种模式对任何人都没有好处……
哪些项目符合条件?
该计划面向使用 OSI 批准许可 并符合最低项目健康标准的开源项目开放。
被接受的项目可以访问 Minimus 镜像库中加固的、符合标准的镜像,以及自定义镜像创建、Helm Charts 和自动生成的 SBOM。项目还将获得实时漏洞利用情报,以优先处理 CVE 修复和补丁工作,以及根据 Minimus 的商业 SLA 进行镜像更新。
“如果开源项目无法获得使软件更容易开发和更安全的所需工具,我们认为这种模式对任何人都没有好处,即对维护者和基于这些项目进行开发的开发人员都没有好处,” Cosgrove 告诉 The New Stack。
被接受的项目可以将 Minimus 镜像集成到他们的构建管道中,立即减少用户的攻击面。维护者还将通过 Minimus 的威胁情报仪表板了解依赖项和潜在漏洞。
容器的黎明
从一位亲历容器诞生的人的角度来看大局,OpenSSF 首席技术官兼 Linux 基金会首席安全架构师 Christopher “CRob” Robinson 是这方面的专家。
“容器化镜像已成为当今大多数开发人员和消费者与软件交互的主要方式。它们提供了一个‘简易按钮’,可以快速为开发人员正在编写的解决方案添加功能,但谁制作了它们以及他们是如何制作的并不总是可见的。不幸的是,并非所有容器都是平等的。许多人误解了容器的本质,认为它更像一个传统的虚拟机,而不是一个与其它工作集成的代码和配置层。因此,他们将太多的东西整合到那个镜像中,” Robinson 告诉 The New Stack。
“最小化攻击面是网络安全的核心原则:需要监控、更新或保护的东西越少,防御者的工作就越容易。容器可以为组织节省创建和管理其基础镜像的时间。加固的最小化容器可以减轻安全团队持续维护和应对当然的 CVE 的开销,”他告诉我们。
1200 个加固镜像(持续增加中)
自 2025 年 4 月公开推出以来,Minimus 已将其镜像库服务扩展到包括 1,200 多个加固容器镜像。该公司还推出了新功能,包括 Image Creator,使企业能够在 Minimus 平台上构建和管理自己的加固镜像。
Minimus 镜像现已获得主要云安全平台的支持,包括 Aqua Security、AWS、Google Cloud、Orca Security、Snyk 和 Wiz。
这里的技术主张似乎足够清晰易懂。维护者希望减少项目的攻击面,同样,作为开源消费者的开发人员也希望在构建时知道他们是从一个更小的攻击面开始的。
这样,即使最终用户对后端强化一无所知,他们也能获得一个加固的、坚固的、本质上合规的应用程序或数据服务。
