Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Canonical propose un LTS de 12 ans pour toute image Docker open source

juillet 2024 par Marc Jacob

Canonical annonce élargir son offre LTS au-delà des paquets « deb » d’Ubuntu, avec un nouveau service de conception et de construction d’images Docker sans distorsion, avec une maintenance de sécurité de 12 ans pour toute application ou dépendance open source, que ce logiciel soit ou non déjà packagé dans Ubuntu.

Les images Docker construites sans distorsion selon les spécifications du client incluent des composants en amont non packagés dans Ubuntu, et corrige les CVE critiques dans les 24 heures, avec un support sur RHEL, Ubuntu, VMware ou les K8 du cloud public sur plus de 12 ans.

L’image Docker - un format d’image de conteneur standard de l’Open Container Initiative (OCI) - fonctionne nativement sur Ubuntu ainsi que sur Red Hat Enterprise Linux (RHEL), VMware Kubernetes ou le cloud public K8s. Canonical prendra en charge ces images personnalisées sur toutes ces plateformes.

Canonical offre « Everything LTS » élargit d’Ubuntu Pro avec des milliers de nouveaux composants open source en amont, y compris les dernières dependancies AI/ML et les outils pour l’apprentissage automatique, la formation et l’inférence, qui sont maintenus en tant que source avec Ubuntu au lieu de paquets « deb ».

L’engagement de Canonical en matière de maintenance de la sécurité CVE pour ces composants open source facilite la conformité avec les lignes de base réglementaires telles que FIPS, FedRAMP, EU Cyber Resilience Act (CRA), FCC U.S. Cyber Trust Mark et DISA-STIG.

Les abonnements Ubuntu Pro comprennent le droit d’exécuter un nombre illimité de conteneurs « Everything LTS ». Les hôtes VMware, RHEL et les clouds publics sont pris en charge au même prix que les hôtes Ubuntu Pro.

Les conteneurs Ubuntu Chiselés sont des conteneurs distroless construits sur Ubuntu avec Chisel pour n’inclure que les fichiers strictement nécessaires à l’application. Ces conteneurs ultra-petits et efficaces réduisent considérablement leur surface d’attaque. Le débogage de ces conteneurs est grandement simplifié car le même conteneur peut être construit sans Chisel, ce qui donne accès aux outils nécessaires pour analyser le comportement de l’application dans les environnements de test. Chisel permet une interopérabilité transparente entre un flux de travail d’ingénierie basé sur la distribution et un environnement de production distroless.

Dans le cadre du service de conception et de construction de conteneurs, Canonical analysera les dépendances d’une application, identifiera les composants open source qui ne sont pas encore couverts par Ubuntu Pro, les placera sous maintenance CVE et créera une image de conteneur qui pourra, soit être chiselisée et distroless. Une fois l’image du conteneur créée, l’automatisation du pipeline entraîne des mises à jour régulières, en veillant à ce que les correctifs pertinents soient inclus et en minimisant le nombre de vulnérabilités critiques et élevées.

Microsoft et Canonical ont créé des conteneurs chiselés pour la communauté .NET. Chisel réduit les conteneurs .NET officiels de 100 Mo. Pour les applications .NET autonomes, l’image de base du runtime chiselé n’est compressée qu’à 6 Mo. Cette empreinte réduite permet une mise en cache plus rapide, à travers les réseaux et entre le stockage et l’exécution, ainsi qu’une réduction de la surcharge de mémoire. La réduction de la taille et de la surface d’attaque n’est qu’un aspect de la stratégie commune en matière de conteneurs sécurisés. Les deux partenaires ont mis en place une chaîne d’approvisionnement à distance zéro afin de garantir la fiabilité de la provenance de tous les actifs utilisés dans les images de base .NET de Chiselled, de la source à l’artefact de production.

« Canonical et Microsoft sont des fournisseurs de confiance pour un grand nombre de clients communs », déclare Richard Lander, chef de produit .NET chez Microsoft. « Nous recevons des réactions très positives lorsque nous partageons ce que nous avons construit ensemble. Les clients veulent voir plus de collaborations comme celle-ci, où chaque aspect de la conception est centré sur les flux de travail des clients, la facilité d’utilisation et la sécurité. Travailler ensemble a permis d’obtenir un meilleur produit, ce que nous avons pu constater avec son adoption immédiate en production. »

Le format OCI, communément appelé image Docker, est un moyen standard d’exécuter des applications confinées sur n’importe quelle plateforme Linux. Avec Everything LTS, Canonical touche des clients au-delà d’Ubuntu et maintient n’importe quelle pile open source au format OCI, pour une utilisation certifiée sur les hôtes RHEL, Ubuntu et VMware, ainsi que sur les K8 du cloud public. Red Hat Enterprise Linux sera pris en charge lorsque les conteneurs sont exécutés sur OpenShift ou une autre distribution Kubernetes certifiée. Sur Ubuntu, les conteneurs seront pris en charge sur l’une des offres Kubernetes de Canonical - MicroK8s ou Charmed Kubernetes. VMware sera pris en charge sur Tanzu Kubernetes Grid ou vSphere with Kubernetes, ou sur les VM Ubuntu sur le cluster vSphere. Sur les clouds publics, Canonical prendra en charge les conteneurs sur les offres Kubernetes d’Azure, d’AWS, de Google, d’IBM et d’Oracle. AWS, Azure et Google proposent Ubuntu Pro de manière native dans leurs services IAAS. La nouvelle offre est incluse dans les abonnements Ubuntu Pro pour le cloud public sans coût supplémentaire.

Canonical peut annoncer qu’elle maintient désormais plus de 2 000 bibliothèques et outils d’IA/ML largement utilisés, notamment PyTorch, Tensorflow, Rapids,Triton, CASK et bien d’autres éléments essentiels en amont des dernières solutions d’apprentissage automatique et d’IA générative. Le portefeuille comprend des conteneurs LTS pour les MLOps, la gestion des données et les applications de streaming afin d’accélérer les initiatives de production d’IA des entreprises sans se soucier des charges de maintenance futures.

Canonical a inventé le terme « Long Term Support » avec le premier Ubuntu LTS en 2006. L’entreprise est réputée pour la qualité et la rapidité de sa maintenance en matière de sécurité, car elle fournit des correctifs pour davantage de CVE. Le temps moyen de correction des CVE critiques est inférieur à 24 heures, ce qui explique pourquoi Ubuntu Pro est à la base de la sécurité des marques SaaS mondiales et des offres d’intelligence artificielle, ainsi que des solutions d’entreprise des principaux éditeurs de logiciels indépendants (ISV).

Canonical et Ubuntu Pro permettent aux entreprises et aux éditeurs de logiciels indépendants de se conformer aux réglementations à venir, telles que la loi européenne sur la cyber-résilience (CRA). Les images fournies dans le cadre du service de création de conteneurs hériteront de cet avantage, ce qui permettra aux entreprises de se décharger sur Canonical du poids que représente le respect des exigences strictes en matière de rapports et de remédiation. Les conteneurs soutenus par Canonical sont reconnus dans les environnements hautement réglementés. Par exemple, les conteneurs Ubuntu renforcés sont pré-approuvés pour être utilisés par les agences gouvernementales américaines et les fournisseurs de logiciels sur l’Iron Bank, un dépôt de conteneurs sécurisé géré par la Platform One du ministère américain de la défense. Ubuntu Pro donne accès à des paquets cryptographiques certifiés FIPS 140-2, ce qui facilite la conformité aux normes FedRAMP, HIPAA et PCI-DSS, entre autres régimes réglementaires.


Voir les articles précédents

    

Voir les articles suivants