Canonical 为任何 open source Docker 镜像提供 12 年长期支持

by Canonical on 19 September 2024

“Everything LTS 计划”— Canonical 将根据客户的规格要求构建 distroless Docker 镜像，其中包括 Ubuntu 中未打包的上游组件，并在 24 小时内修复关键的 CVE 漏洞，在 RHEL、Ubuntu、VMware 或公共云 K8s 上畅享长达 12 年以上的支持。

Canonical 将其 LTS 产品扩展到 Ubuntu 的 “deb” 包以外，并推出了一项新的 distroless Docker 镜像设计与构建服务，该项服务为任何开源应用程序或依赖项均提供 12 年的安全维护，无论该软件是否是 Ubuntu 中已打包的软件。

「Everything LTS 计划意味着 CVE 维护将覆盖您的整个开源依赖项树，包括 Ubuntu 中未作为 deb 包打包的开源依赖项。」Canonical 首席执行官 Mark Shuttleworth 称，「我们按照你的规格要求提供 distroless Docker 镜像或基于 Ubuntu 的 Docker 镜像，我们将在 RHEL、VMware、Ubuntu 或主要的公共云 K8s 上提供支持。我们的企业客户和 ISV 客户现在可以依靠 Canonical 来满足任何开源堆栈的监管维护需求，无论堆栈规模多大或多复杂，无论客户想要在哪里堆栈部署，我们都能满足。」

Canonical 提供 “Everything LTS 计划” 这一举动为 Ubuntu Pro 扩展了数千个新的开源上游组件，包括当下最新的 AI/ML 依赖项以及机器学习、训练和推理工具，这些组件与 Ubuntu 一起作为源代码而非 “deb” 包进行维护。Canonical 针对这些开源组件的 CVE 安全维护承诺有助于确保符合 FIPS、FedRAMP、欧盟网络弹性法案（CRA）、FCC 美国网络安全信任标识和 DISA-STIG 等监管基准要求。

客户委托 Canonical 设计一个开源应用程序的 Docker 镜像，或者一个包含所有开源依赖项的基础镜像来托管其专有应用程序。他们可获得加固的 distroless 容器镜像，不仅攻击面最小，而且享受 12 年以上的 CVE 维护。Docker 镜像是一种开放容器倡议（OCI）标准容器镜像格式，可以在 Ubuntu、Red Hat Enterprise Linux（RHEL）、VMware Kubernetes 或公共云 K8s 上直接运行。Canonical 将在以上所有平台上支持这些定制镜像。

Ubuntu Pro 订阅还为用户提供运行无限制 “Everything LTS” 容器的权利。支持 VMware、RHEL 和公共云主机，价格与 Ubuntu Pro 主机相同。

Distroless 容器极小但安全

行业研究表明，84% 的代码库至少存在一个开源漏洞，其中 48% 的漏洞为高风险漏洞。

Distroless 容器设计范例描述的是只包含运行单个应用程序所需文件的容器。而我们的目标是更小的容器，且在发现容器存在漏洞时更难以被利用，因为容器内没有多余的实用程序或附加内容可以辅助攻击者。

Distroless 容器通常是从头构建的，当开发人员使用包含许多组件、语言和运行时间长的复杂应用程序时，他们难以设计或调试这些容器。对于开发人员而言，在诸如 Ubuntu 这样的平台上工作要容易得多。

Chiselled Ubuntu 容器是基于 Ubuntu 及 Chisel 构建的 distroless 容器，其中只包含应用程序绝对必要的文件。多余的 distro 元数据和工具被排除在外，只保留应用程序的绝对依赖项。这些超小且高效的容器大大减少了攻击面，技术水平也得到了改进。

开发人员使用完整且熟悉的 Ubuntu 工具链（也是最受云开发人员喜爱的 Linux 环境），然后使用 Chisel 构建容器，即可实现 distroless 生产产出物。其附带的好处在于，此类容器的调试大大简化，因为无需 Chisel 即可构建相同的容器，为开发人员提供了他们在测试环境中分析应用程序行为所需的熟悉工具。Chisel 实现了基于发行版的工程工作流和 distroless 生产环境之间的无缝互操作性。

作为容器设计和构建服务的一部分，Canonical 将分析您的应用程序依赖项树，确定 Ubuntu Pro 中尚未包含的开源组件，将这些组件纳入 CVE 维护范围，并创建一个容器镜像，您可以选择创建一个 chiselled 和 distroless 镜像。容器镜像创建之后，管道自动化功能会驱动定期更新，确保包含相关补丁，并最大限度地减少严重和高风险漏洞的数量。

企业 .NET 应用程序的 chiselled 运行

Microsoft 和 Canonical 针对  .NET 社区创建了 chiselled 容器。Chisel 将官方 .NET 容器的大小缩小了 100 MB。对于自含的 .NET 应用程序，chiselled 运行时基础镜像仅 6 MB 压缩大小。占用空间更小，跨网络以及从存储到执行过程中的缓存速度更快，同时还减少了内存开销。 

「Canonical 和微软是备受许多同类客户信赖的供应商。」Microsoft .NET 产品经理 Richard Lander 表示，「当我们分享与客户共同构建的东西时，得到了非常积极的反应。客户希望开展更多这样的合作，因为我们在设计的各个方面都是以客户工作流、易用性和安全性为核心。我们通过共同努力创造出了一款更好的产品，而且很快我们看到它在生产环境中得到采用。」

大小和攻击面区域的减少只是我们联合安全容器策略的一个方面。而另一方面，合作双方已经建立了零距离的供应链，以确保 Chiselled .NET 基础镜像中所用全部资产（从源代码到生产产出物）的可信来源。

支持 RHEL、VMware、Ubuntu 和公共云 K8s

Ubuntu 是使用最广泛的云 Linux，且 Ubuntu Pro 已然成为世界上最全面的安全维护产品，其涵盖了超过 36700 个 “deb” 包，比任何其他企业 Linux 都更开源。然而，有一些团队可能会受企业政策限制使用特定的主机操作系统。 

OCI 格式，通常被称为 Docker 镜像，是在任何 Linux 平台上运行受限应用程序的标准方式。企业 SRE 既可以维持其现有的策略和程序，也能在其基础架构上以本地包的形式运行由 Canonical 维护的 Docker 镜像。推出 Everything LTS 计划后，Canonical 可以接触到 Ubuntu 以外的客户，并以 OCI 格式维护任何开源堆栈，以便在 RHEL、Ubuntu 和 Vmware 主机以及公共云 K8s 上实现经过认证的用途。

当容器在 OpenShift 或其他经过认证的 Kubernetes 发行版上运行时，Red Hat Enterprise Linux 将受到支持。在 Ubuntu 上，容器将在任何 Canonical 的 Kubernetes 产品（MicroK8s 或 Charmed Kubernetes）上受到支持。Vmware 将在 Tanzu Kubernetes Grid 或 vSphere with Kubernetes 上，或者在 vSphere 集群的 Ubuntu 虚拟机上受到支持。在公共云上，Canonical 将支持 Azure、AWS、Google、IBM 和 Oracle 公共云 Kubernetes 产品上的容器。

「确保符合 FedRAMP 或 HIPAA 要求对于 CISO 而言非常具有挑战性。这是在混合云和公共云中运行大规模兼容容器资产的最简单、最经济的方式。」Canonical 公共云联盟负责人 Alex Gallagher 称，「我们与经过认证的公共云密切合作，优化 Kubernetes 的安全性与性能，并且集成 Ubuntu Pro，提供对 LTS 容器的无缝、无摩擦访问。」

AWS、Azure 和 Google 在其 IAAS 服务中直接提供 Ubuntu Pro。新产品包含在公共云 Ubuntu Pro 订阅中，无额外费用。

最新的 AI/ML 工具链、依赖项和堆栈

公司的全球合作伙伴和客户中，已经有人使用了由 Canonical 与 Ubuntu 共同维护的数千个上游开源依赖项，构建适用于 AI 工作负载和解决方案的容器。企业和 ISV 合作伙伴现在可以借助这一系列的容器来满足他们的 AI 需求。

以 Everything LTS 计划改变企业和 ISV 产品计划和可能性的方式为例，Canonical 称其现在维护着 2000 多个广泛使用的 AI/ML 库和工具，包括 PyTorch、Tensorflow、Rapids、Triton、CASK 以及最新机器学习和生成式 AI 解决方案的更多重要上游元件。

该产品组合包括适用于 MLOps、数据管理和流应用程序的 LTS 容器，以助力企业 AI 生产计划加速，且无需担心未来的维护工作。

针对容器和任何开源依赖项的 LTS

对于寻找一个值得信赖的合作伙伴来维护容器镜像从而满足严格的报告和补救要求的企业组织而言，这项新的服务正是理想之选。

Canonical 于 2006 年首次发布 Ubuntu LTS 时创造了“长期支持”这一词。其在安全维护质量和速度方面享有盛誉，与其他企业产品相比，其产品可以提供针对更多 CVE 漏洞的修复，速度更快，并且缺陷更少。修复关键 CVE 漏洞的平均时间不到 24 小时，这就是Ubuntu Pro 能够保障全球 SaaS 品牌和 AI 产品以及主要 ISV 企业解决方案的安全性的原因所在。

Canonical 提供的容器构建服务将包括长达 12 年的长期支持承诺，为定制 Docker 镜像提供超过十年的安全维护。凭借 LTS 承诺与公司的上游社区关系，Canonical 成为了希望获得两全其美方案的企业组织的理想合作伙伴：有可靠合作伙伴提供的保障，还有最新、最好的开源资源。 

合规且经得起时间考验 

在满足严格的漏洞管理、审计和报告要求方面，企业组织面临着重重困难。而 Canonical 和 Ubuntu Pro 能够帮助公司和 ISV 达到欧盟网络弹性法案（CRA）等新法规的要求。作为容器构建服务的一部分进行交付的镜像将继承这一优势，企业组织使用这些镜像，将满足严格报告和修复要求的重担交给 Canonical。

Canonical 支持的容器在严格监管环境中备受信赖。例如，加固的 Ubuntu 容器经预先批准由美国政府机构和软件供应商在 Iron Bank（美国国防部 Platform One 平台托管的安全容器存储库）上使用。

Ubuntu Pro 允许访问 FIPS 140-2 认证加密包，帮助满足 FedRAMP、HIPAA 和 PCI-DSS 以及其他监管制度合规性。获得 Canonical 提供的安全容器的企业组织则可以利用这些经过认证的组件。

获取最喜爱 distro 公司提供的 distroless 容器

• 联系 Canonical >
• 了解 chiselled Ubuntu 容器 >
• 查看其他人对 chiselled 容器的评价 >