Üretim sistemlerine derinlemesine kök salmış, yaygın olarak kullanılan birçok açık kaynak projesi, kendilerini aktif geliştirme ile azalan çaba arasında, tamamen terk edilme noktasına kadar gri bir alanda buluyor. Uygulamalar kararlıdır ancak üretimde güvenilir bir şekilde çalışmaya devam etmek için güvenlik yamaları ve bağımlılık güncellemeleri için minimum düzeyde bakım gerektirir. Ancak bakımcıların bu projelerden çekilmesi durumunda güvenlik riski haline gelebilirler. Chainguard'ın yeni “EmeritOSS” programı tam da bu noktada devreye giriyor.
Duyurudan sonra devamını okuyun
Duyuruya göre, diğer şeylerin yanı sıra sertleştirilmiş konteynerlerin görüntülerini sağlayan Chainguard şirketi, ilgilenen açık kaynaklı projelere EmeritOSS ile “istikrarlı ve güvenilir bir ev” sunmak istiyor. Temel amaç bu projeleri daha da geliştirmek değil, açık kaynak yazılımların bir bütün olarak sürdürülebilirliğini güçlendirmektir.
Örnek bir uyarı olarak xz-utils arka kapısı
Chainguard, programın motivasyonu olarak xz-utils Ücretsiz/Libre Açık Kaynak Yazılımı (FLOSS) projesine yönelik sosyal mühendislik saldırısı örneğini gösteriyor. 2024 yılında ortaya çıkan bu olayda asıl bakımcı, uzun yıllar süren çabaların ardından projeden çekilmek istedi. Yeni bir işbirlikçi yavaş yavaş onların güvenini kazanmayı başardı ve ardından sayısız sistemi tehlikeye atabilecek bir arka kapı kurmaya çalıştı.
EmeritOSS artık bu tür olgun tasarımları kullanan, güvenliğine ve güvenilirliğine güvenen şirketlere yapılandırılmış bir geçiş modeli sunmayı amaçlıyor. Ancak desteğin kapsamı kasıtlı olarak sınırlandırılmıştır. Program, topluluk beklentilerine ve proje yaşam döngüsüne bağlı olarak, koda erişimi sürdürmek için genel çatallar, güvenlik açıklarını gidermek için bağımlılık güncellemeleri, söz konusu güncellemeleri içeren yeni sürümler, destek kapsamına ilişkin net belgeler ve gerekirse konteyner görüntüleri ve APK paketleri dahil olmak üzere çeşitli düzeylerde destek sağlar.
Yeni özellikler yerine kararlılık
Chainguard'a göre program, özellikle yeni özellikler geliştirmekten veya topluluk sorunları ve çekme istekleriyle proaktif olarak ilgilenmekten kaçınıyor. Çatallanmış, stabilite odaklı kaynak kodu sürümleri GitHub'da ücretsiz olarak mevcut kalmalıdır. Güvenli, sürekli olarak bakımı yapılan bir kapsayıcı görüntüsünü veya APK'yı tercih eden kuruluşlar, ticari dağıtıma yönelmelidir. Chainguard, ticari tedarikçilerle rekabet etmek değil, yalnızca çatal tasarımlarının sürekliliğini sağlamak istiyor.
Duyurudan sonra devamını okuyun
İlk projeler olarak Kaniko, Kubeapps ve ingress-nginx
EmeritOSS programının başlangıcı, Google'ın Haziran 2025'te sunulacağını duyurduğu Kaniko projesinin lansmanı oldu. Kaniko, Docker görüntülerinin ayrıcalıklı kapsayıcılar olmadan Kubernetes kümeleri içinde oluşturulmasına olanak tanıyor ve özellikle finans gibi düzenlemeye tabi sektörlerde popüler. Chainguard, bir çatallanma sürdürdüğünü ve halihazırda CVE düzeltmeleri, bağımlılık güncellemeleri ve görüntü bakımı sağladığını söylüyor.
En son eklenenler Kubeapps ve ingress-nginx projeleridir. Kubernetes topluluğu, ingress-nginx'in Mart 2026'da aşamalı olarak kullanımdan kaldırılacağını ve gelecekte Kubernetes'te ağ oluşturmak için varsayılan olarak API Ağ Geçidini kullanacağını duyurduktan sonra, kullanıcılar diğer giriş denetleyicilerine geçme veya API Ağ Geçidine geçme zorluğuyla karşı karşıya kaldı. EmeritOSS programı kapsamındaki çatal artık ilgilenen kişilere değerlendirme için daha fazla zaman veriyor.
Programa dahil edilmesi gereken ek açık kaynak proje önerileri olan herkes bunları Chainguard'ın EmeritOSS ekibine gönderebilir.
(harita)
Bir yanıt yazın