Minimal - Colección de imágenes de contenedor con vulnerabilidades CVE minimizadas

 (github.com/rtvkiz)
10 puntos por xguru 2026-02-03 | 2 comentarios | Compartir por WhatsApp
  • Colección de imágenes de contenedor ligeras diseñada para minimizar las vulnerabilidades de seguridad (CVE) en entornos de producción
  • Reconstruida diariamente sobre la base de apko de Chainguard y los paquetes Wolfi para reflejar los parches de seguridad más recientes
  • Elimina paquetes innecesarios para minimizar la superficie de ataque, y la mayoría de las imágenes incluyen solo entre 0 y 5 CVE como máximo
  • Ofrece imágenes para los principales runtimes y servicios, como Python, Node.js, Bun, Go, Nginx, HTTPD, Jenkins, Redis, PostgreSQL y SQLite
    • Cada imagen se ejecuta como usuario no root (non-root) y, de forma predeterminada, no incluye shell
  • Diseño centrado en la seguridad
    • Si no pasa el gate de CVE, la compilación falla
    • Firma basada en cosign y generación automática de SBOM (Software Bill of Materials)
    • Todas las imágenes pueden verificarse con la firma keyless de Sigstore
  • Estructura del pipeline de compilación
    • Paquetes Wolfi → creación de imagen OCI con apko → escaneo de CVE con Trivy → firma y distribución con cosign+SBOM
    • Jenkins, Redis y otros se integran tras compilarse desde el código fuente mediante melange
  • Método de actualizaciones automáticas y mantenimiento
    • Compilación automática diaria a las 2:00 UTC para aplicar los parches de CVE más recientes
    • Despliegue automático de cambios de configuración al fusionarse en la rama main
    • Soporte para reconstrucciones de emergencia mediante activación manual
  • Efectos en seguridad y cumplimiento
    • Facilita las auditorías de seguridad y el cumplimiento normativo, como SOC2, FedRAMP y PCI-DSS
    • Más de 10 veces más rápido que Debian/Ubuntu en aplicar parches (dentro de 48 horas)
    • Verificación de firmas y provisión de SBOM para reforzar la seguridad de la cadena de suministro
  • Publicado bajo licencia MIT
    • Los paquetes de terceros incluidos en cada imagen especifican sus licencias individuales, como Apache-2.0, MIT, GPL y BSD
    • A través del SBOM se puede consultar la información de licencias de todos los paquetes

Lecturas relacionadas

2 comentarios

 
click 2026-02-03

Últimamente también hay muchos ataques a la cadena de suministro de bibliotecas, así que a veces da la impresión de que actualizar todos los días a la versión más reciente no necesariamente es lo más seguro.
 
t7vonn 2026-02-03

No me queda muy claro qué diferencia hay con este: https://github.com/GoogleContainerTools/distroless