Minimus binlerce CVE içermeyen kapsayıcı görüntüsünü ücretsiz olarak sağlar

kapanış bildirimi

Bu makale İngilizce olarak da mevcuttur. Teknik yardımla tercüme edildi ve yayınlanmadan önce editoryal olarak gözden geçirildi.

Konteyner güvenliği konusunda uzmanlaşan Minimus şirketi, güçlendirilmiş konteyner görüntülerinin tam kataloğunu tüm yazılım geliştiricilerin kullanımına kayıt olmadan ücretsiz olarak sunmaktadır. Community Edition'ın bir parçası olarak, nginx, Python, PostgreSQL, Elasticsearch, RabbitMQ, Argo CD ve cert-manager gibi uygulamalara yönelik görseller de dahil olmak üzere bilinen CVE'lerden neredeyse arınmış olduğu söylenen binlerce Distroless görseli bulunuyor. Minimus'a göre, resim galerisi kitaplığına erişmek için ne oturum açmanız ne de bütçe onayı gerekmiyor ve sağlayıcı ayrıca indirme limitlerinden de feragat ediyor.

Duyurudan sonra devamını okuyun

Minimus'un duyurusunda açıkladığı gibi şirket, giderek artan sayıda keşfedilen güvenlik açığına yanıt veriyor. CEO Ben Bernstein, Anthropic'in yapay zeka modellerini ve programlarını bu bağlamda öne çıkarıyor: “Mythos ve (the) Glasswing projesi gibi modeller, güvenlik açığı keşfinin kapsamını ve hızını önemli ölçüde artırırken iyileştirme yetenekleri buna ayak uyduramadı” diyor Bernstein. Gerçekten de, VulnCheck'inki gibi analizler, diğerlerinin yanı sıra GitHub projelerinde CVE hacimlerinde kısmen yapay zeka destekli keşiflerin de etkisiyle büyük artışlar olduğunu gösteriyor. DevSecOps ekipleri için bu şu anlama gelir: Klasik “her şeyi yama” stratejileri sınırlarına ulaşır. Bunun yerine, örneğin CISA KEV listesi veya bilinen istismarlar aracılığıyla risk bazlı önceliklendirme ve minimum temel değerlerin kullanımı ön plana çıkıyor.

Geliştirici Deneyimi (DX) ve Platform Mühendisliği konularında uzmanlaşmış CLC konferansı, 11 – 12 Kasım 2026 tarihleri ​​arasında Mannheim'da gerçekleşecek. Agentic AI'nın geliştiricilerin, yazılım mimarlarının, DevOps'un ve platform mühendislerinin çalışmalarını nasıl değiştirdiği ve dijital egemenliğin sürdürülebilir bir şekilde nasıl elde edilebileceği konusuna özellikle odaklanılacak.

Biletler artık peşin fiyatlarla satışa sunuluyor.

Satıcıya göre Minimus görüntüleri, dağıtım gerektirmeyen yukarı akış kaynak kodundan sürekli olarak yeniden oluşturuluyor, taranıyor ve sağlamlaştırılıyor. Yalnızca bir uygulamanın çalışma zamanında gerçekten ihtiyaç duyduğu bileşenleri içerirler: kabuklar, paket yöneticileri ve hata ayıklama araçları kasıtlı olarak eksiktir. Minimus, görsellerin genellikle geleneksel standart görsellerden %95'e kadar daha küçük olduğunu ve API uyumlu, anında değiştirilebilen görseller olarak kullanılmasının amaçlandığını söylüyor. En basit durumda Dockerfile'da tek bir satırı değiştirmek yeterlidir.

Minimal, güvenli Docker görüntüleri ve güvenli konteyner görüntülerinin kendi kendine oluşturulmasıyla ilgili çok bölümlü bir makale, Distroless yaklaşımların üretken Kubernetes ortamlarında ne kadar pratik olduğunu vurguluyor. Ana bulgu: Hata ayıklama iş akışlarının geçici kaplar gibi entegre Kubernetes araçlarına dönüştürülmesi koşuluyla, işlevsel olarak bu tür görüntüler birçok durumda klasik “tam yağlı” varyantların yerini alabilir. Özellikle Almanya'daki finans, sağlık hizmetleri veya KRITIS operatörleri gibi düzenlemeye tabi sektörler için gereksiz saldırı yüzeylerinin ortadan kaldırılması önemli bir avantaj sağlayabilir.

Duyurudan sonra devamını okuyun

Minimus, tüm görsellerin FIPS, CIS, NIST ve STIG gerekliliklerini karşıladığını duyurur. FIPS, kriptografik modülleri doğrulamayı amaçlar; NIST, SP 800-190 gibi yayınlarla konteyner güvenliği için somut yönergeler sağlar; CIS, sağlamlaştırma kıyaslamaları sağlar ve STIG, ABD Savunma Bakanlığı için ayrıntılı yapılandırma özelliklerini tanımlar. DACH bölgesindeki uyumluluk ve veri koruma görevlileri için bu, özellikle ISO 27001 veya BSI-Grundschutz'un gerektirdiği gibi güvenli yapılandırmaların kanıtı, SBOM belgeleri ve menşe kanıtının gerekli olduğu durumlarda denetimleri önemli ölçüde basitleştirir. Minimus, her yapı için imzalı SBOM'lar ve kriptografik imzalar sağladığını iddia ediyor ve SLSA seviye 3'ü hedefliyor; bu, güvenli CI/CD işlem hatlarıyla tekrarlanabilir yapılar anlamına geliyor.

Sertleştirilmiş konteyner görüntülerinin giderek rekabet açısından belirleyici bir konu haline geldiği gerçeği, yılın başında Docker Inc.'in sertleştirilmiş görüntülerini ücretsiz sunma kararıyla zaten ortaya çıktı. Aynı zamanda 10.000'den fazla Docker Hub görüntüsünde gizli oturum açma verilerinin keşfedilmesi gibi bulgular, konteyner güvenliği alanında harekete geçme ihtiyacının ne kadar büyük olduğunu ortaya koyuyor.

Ücretsiz Topluluk sürümüne ek olarak Minimus, sözleşmeyle garanti edilen iyileştirme SLA'larına sahip bir Enterprise sürümü sunar: CISA KEV listesindeki kritik ve yükseltilmiş CVE'ler için 24 saat, diğer tüm kritik ve yüksek güvenlik açıkları için 48 saat. Kurumsal müşteriler ayrıca özel görüntüler için bir görüntü oluşturucuya, kurumsal SSO'ya, rol tabanlı erişim kontrolüne ve hava boşluğu olan ortamlarda bile görüntüleri mevcut kayıtlarla senkronize etme olanağına sahip olur.

Minimus ayrıca geliştiricilere “aracıya hazır” olarak tanımlanan Micli CLI aracını da sağlar. Sağlamlaştırılmış görüntülere geçişi otomatikleştirmek için Claude, Codex veya Cursor gibi yapay zeka yardımcılarıyla iş akışlarına entegre edilebilmelidir. Minimus, 2022 yılında üçü de Twistlock'ta çalışan Ben Bernstein, Dima Stopel ve John Morello tarafından kuruldu; John Morello aynı zamanda konteyner güvenliğine ilişkin NIST SP 800-190 belgesinin ortak yazarıdır.


(harita)


Yayımlandı

kategorisi

yazarı:

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir