Minimal - coleção de imagens de contêiner com vulnerabilidades CVE minimizadas

 (github.com/rtvkiz)
10 pontos por xguru 2026-02-03 | 2 comentários | Compartilhar no WhatsApp
  • Coleção leve de imagens de contêiner projetada para minimizar vulnerabilidades de segurança (CVE) em ambientes de produção
  • Recompilada diariamente com base no apko da Chainguard e em pacotes Wolfi para refletir os patches de segurança mais recentes
  • Remove pacotes desnecessários para minimizar a superfície de ataque, e a maioria das imagens inclui apenas de 0 a 5 CVEs
  • Fornece imagens para os principais runtimes e serviços, como Python, Node.js, Bun, Go, Nginx, HTTPD, Jenkins, Redis, PostgreSQL e SQLite
    • Cada imagem é executada como usuário não root (non-root) e, por padrão, não inclui shell
  • Arquitetura focada em segurança
    • Se não passar pelo gate de CVE, o build falha
    • Assinatura baseada em cosign e geração automática de SBOM (Software Bill of Materials)
    • Todas as imagens podem ser verificadas com a assinatura keyless do Sigstore
  • Estrutura do pipeline de build
    • Pacotes Wolfi → geração de imagem OCI com apko → varredura de CVE com Trivy → assinatura e distribuição com cosign+SBOM
    • Jenkins, Redis etc. são integrados após build a partir do código-fonte por meio do melange
  • Forma de atualização automática e manutenção
    • Build automático diário às 2h UTC para aplicar os patches de CVE mais recentes
    • Alterações de configuração são implantadas automaticamente quando há merge na branch main
    • Suporte a rebuild emergencial por gatilho manual
  • Efeitos no atendimento a segurança e compliance
    • Facilita auditorias de segurança e conformidade regulatória, como SOC2, FedRAMP e PCI-DSS
    • Velocidade de aplicação de patches mais de 10x superior em relação a Debian/Ubuntu (em até 48 horas)
    • Verificação de assinatura e fornecimento de SBOM reforçam a segurança da cadeia de suprimentos
  • Disponibilizado sob licença MIT
    • Os pacotes de terceiros incluídos em cada imagem informam licenças individuais, como Apache-2.0, MIT, GPL e BSD
    • As informações de licença de todos os pacotes podem ser verificadas por meio do SBOM

Leituras relacionadas

2 comentários

 
click 2026-02-03

Hoje em dia também há muitos ataques à cadeia de suprimentos de bibliotecas, então às vezes parece que atualizar para a versão mais recente todos os dias não é necessariamente mais seguro.
 
t7vonn 2026-02-03

Não entendi muito bem qual é a diferença disso para https://github.com/GoogleContainerTools/distroless