誏容器镜像在 “源头” 就得到安全维护

by Canonical on 14 August 2025

软件供应链安全已成为开发者、DevOps 工程师与 IT 领导者的首要痛点。高曝光数据泄露与依赖链渗透已证实，开源组件若未经严格审计与持续维护，可能构成安全威胁。尽管容器化技术已在现代开发部署体系中普及，但其在可复现性与安全防护方面仍存在固有缺陷。 

容器构建方案亟需满足以下核心要求：部署简易性、运行安全性、构建可复现性，并能长期维护以应对新型威胁——这正是 Canonical 推出容器构建服务的根本动因。

开源安全挑战

开源软件（OSS）在企业环境中的应用正变得愈发普及。分析表明，开源软件约占所有在用软件的 70%，它已然不再是一种补充性组件，而实为现代应用程序的基石。更值得关注的是，据报告显示，97% 的商业代码库已集成某些开源软件组件，这足以彰显其实际地位之关键，已发展为现代技术生态中举足轻重的存在。然而，随着开源软件的日益广泛应用，随之而来的开源漏洞也日益凸显。研究显示，84% 的代码库存在至少一个已知的开源漏洞，其中近半数漏洞被归类为高风险级别。Black Duck 发布的《2025 年开源安全和风险分析（OSSRA）》报告显示，随着应用程序使用的开源文件数量激增（短短四年间已增至三倍，开源文件数量从 2020 年平均 5300 个激增至 2024 年的 16000 多个），风险也随之攀升。攻击范围的扩大与开源文件的激增呈直接正相关性。 

Canonical 与 IDC 联合报告显示，企业采用开源软件主要基于三大动因：降低成本（44%）、加速开发（36%）及提升可靠性（31%）。尽管九成企业声称倾向于从可信操作系统仓库（如自建操作系统源）获取软件包，但实际操作中多数仍直接拉取上游注册中心资源。这意味着漏洞修补的重任主要落在 IT 团队肩上。报告显示，七成团队每周需投入超六小时（相当于近一个工作日）用于获取并应用安全更新；尽管同等比例要求高危和严重漏洞须在 24 小时内修复，但仅 41% 确信能达成该服务等级协议（SLA）。该报告另一个值得关注的发现是，超过半数的组织未对其生产环境中的系统或应用程序实施自动升级至最新版本，致使这些系统持续暴露于已知漏洞风险之下。

供应链攻击亦呈现愈发频繁的趋势。Sonatype 研究显示，2024 年软件供应链攻击数量同比激增 100%；Blackberry 报告则指出，逾 75% 的组织在去年曾遭遇供应链攻击。Sonatype 研究显示，过去 12 个月内公共仓库检出的恶意软件包数量突破 50 万大关，较上年激增 156%。这揭示了攻击者如何通过锁定上游开源组件危害下游用户。 

基于上述趋势，开发团队正积极探索保障容器镜像完整性的解决方案。作为防御篡改的有效手段，可重现构建与签名镜像等实践日益普及；同时最小化镜像技术显著降低了漏洞风险。然而，这些防护措施的实施需要大量的资源投入与专业能力支撑。这正是 Canonical 最新解决方案的切入点。

Canonical 容器构建服务：提供可重现、强化加固且持续安全维护的镜像

Canonical 全新推出的容器构建服务正是为迎刃化解上述挑战而生。本质上，该服务使得 Canonical 工程师能够为任意开源项目或技术栈精准定制容器镜像，并以安全性与长效维护为核心目标。无论您提供的是开源应用，还是包含全套依赖的专属基础镜像，Canonical 都将严格遵循您的配置规范完成容器化适配，并对镜像进行生产强化处理。最终生成的容器镜像将以开放容器计划（OCI）格式交付，并提供长达 12 年的安全维护保障。

最终交付的完整容器将获得长达 12 年的全面技术支持

容器中的每一个软件包和库，即使最初不属于 Ubuntu 官方源，都将被纳入 Canonical 的安全维护承诺范围。我们保持着平均 24 小时内修复关键漏洞的历史记录，确保能够快速响应新兴威胁。与传统仅覆盖操作系统组件的标准基础镜像不同，Canonical 的服务将囊括容器构建中所有必需的上游开源组件。简而言之，您的整个开源依赖树都将获得持续的安全保障，即使其中某些组件最初并未包含在 Ubuntu 的官方源中。这意味着团队可以自信地使用最新的框架、AI/ML 库或小众实用程序，因为 Canonical 会将 Ubuntu 提供的长期支持扩展至这些组件。

构建的每个容器镜像均提供长达 12 年的安全更新保障周期。此维护周期远超社区容器镜像典型的支持时效。该解决方案确保处于合规严苛领域或需长期稳定运行的企业，能够在生产环境中安全稳定地运行容器十年以上，且始终获得持续的漏洞修补保障。 

真正的跨平台可移植性

经安全强化的容器镜像可无缝运行于所有主流 Linux 主机及 Kubernetes 平台。无论您的基础设施采用 Ubuntu、RHEL、VMware 或是公有云 Kubernetes 服务，Canonical 均将为这些容器镜像提供全平台无差别支持。这种广泛的兼容性意味着，您无需在主机上运行 Ubuntu 系统即可获得同等保障：容器镜像具有真正的跨环境可移植性，并由 Canonical 提供全平台统一的技术支持。

长期可复现性与自动化保障

Canonical 的构建管道以可复现性和自动化作为核心设计原则。当容器镜像完成设计与构建后，自动化管道将接管后续工作，持续重新构建镜像并更新最新安全补丁。该机制确保镜像能够长期维持更新状态而无需人工干预，同时提供（经 Canonical 验证的）可复现构建流程，以此保障生产环境中运行的镜像与经过安全认证的源码及二进制文件完全一致。

简而言之，全新推出的容器构建服务可提供高度安全可靠、具备可复现性的容器镜像，这些镜像由 Ubuntu 专家为您的应用程序量身打造。该服务将容器安全维护的繁重工作有效转移给 Canonical，让您的团队能够专注于编写代码和部署功能，而无需时刻担忧容器镜像中的漏洞威胁。

极小化占用，最优化性能

Canonical 解决方案的核心突破点在于采用精琢型 Ubuntu 容器镜像。精琢镜像是 Canonical 对“无发行版”容器理念的革新实践——这类超精简镜像仅包含应用程序必需的运行时组件，其余一切皆被剔除。通过剥离非必要的软件包、实用程序及元数据，精琢镜像显著缩减了镜像大小与攻击面。

何为精琢镜像？这些镜像通过名为 Chisel 的开源工具构建，该工具能像雕刻艺术品般将应用程序精凿至仅存最核心的骨架。精琢版 Ubuntu 容器镜像虽源于标准 Ubuntu 基础，却已剔除所有冗余组件，宛若精雕细琢的艺术品。

精琢镜像仅包含应用程序运行所绝对必需的文件与库，彻底剔除了冗余发行版元数据、Shell 环境、软件包管理器及生产环境非必要的其他工具。正是这种极简主义设计，使得精琢镜像的大小相比经典 Ubuntu 镜像呈现数量级缩减。这不仅意味着更少的存储占用空间和更快的传输速度，更从根本上压缩了漏洞的藏匿空间，使其无处遁形。在 Microsoft ACA 团队进行的 .NET 容器优化实践中，通过精琢镜像技术将后端 API 镜像大小从 226 MB 压缩至 119 Mb，降幅达 56.6%；同时将 CVE 漏洞数量从 25 个锐减至仅剩 2 个，实现 92% 的安全隐患消除率。软件包数量也从 451 个降至 328 个，使得需要管理的潜在漏洞风险大幅降低。 

通过精简臃肿部分，精琢容器的启动速度更快，内存占用更小。精琢容器仅包含必要组件，因而拉取镜像和启动容器的速度更快。以 .NET 运行时镜像为例，精琢处理使其较官方镜像缩减约 100 Mb，并为自包含应用程序生成小至 6 MB（压缩后）的运行时基础环境。如此精小的资源占用意味着更快的网络传输速度，以及在规模部署时更低的内存消耗。

通过在容器构建中使用精琢版 Ubuntu 镜像，Canonical 确保每个容器在保持基于全球开发者首选 Linux 发行版的同时，实现极致的体积精简与严密加固。该技术组合实现开箱即用的强大安全防护。正因这些镜像构建于 Ubuntu 之上，它们完整承袭了 Ubuntu 的长期支持机制。我们的容器镜像严格同步 Ubuntu LTS 发布周期，其核心组件可享受同等五年的免费安全更新，并通过 Ubuntu Pro 扩展至十年维护。在新型构建服务中，针对企业客户可延伸至 12 年支持周期，即使是最小化运行时组件也能长期维持 CVE 漏洞修补状态。

构建于 Ubuntu Pro 平台 

2006 年，Canonical 随 Ubuntu 6.06 LTS 版本首创 “长期支持（LTS）” 术语，率先定义操作系统稳定发布模式，提供 5 年保障性更新。自此，Ubuntu LTS 已成为企业级“可靠性”的代名词。2019 年，Canonical 推出 Ubuntu Pro，在 LTS 基础上实现三重跨越：不仅涵盖 Ubuntu 核心系统，更将全方位安全维护扩展至数千个社区（universe）软件包，并提供 FIPS 140 认证加密模块等企业级功能。Ubuntu Pro 如今已成为极其完备的开源安全解决方案，为超过 36000 个软件包提供长达 10 年的维护保障。 

这一背景至关重要，因为全新的容器构建服务正是专为容器镜像打造的 Ubuntu Pro 安全标准。Canonical 正将其在自动修补、漏洞修复及长期维护领域的专业技术，全面延伸至容器内部全技术栈。选择 Canonical 设计与维护的容器镜像，实质上等同于获得一支专业团队对软件供应链的全天候监护。容器中包含的每个上游项目，均处于安全问题监控机制的持续守护之下。若技术栈任一层面（无论操作系统、共享库或冷门 Python 软件包）出现新型漏洞，Canonical 都将通过自动化管道主动部署补丁并发布更新镜像。所有这些操作主要在幕后完成，您可按合规需求接收通知或追踪更新状态。此等运维强度若由企业自行实现，必将耗费高昂且困难重重。

更重要的是，Canonical 的深度参与构建起一套可信监管链，这是企业自行构建镜像难以企及的。这些容器由 Canonical 采用与 Ubuntu 正式发行版相同的构建基础设施构建并签名，从而严密保障其完整性。Canonical 及其合作伙伴甚至为关键资产建立了零距离供应链 — 这意味着从源代码到最终容器制品之间，存在着紧密的集成与验证机制。该方法极大降低了供应链中篡改威胁与恶意软件滋生风险。

得益于 Ubuntu 的广泛公信力，Canonical 容器镜像已在强监管环境中获得预认证资格。值得一提的是，经过加固处理的 Ubuntu 容器镜像已经认证，现已用于美军国防部 “Iron Bank” 仓库中提供，该仓库是专为政府场景设计的军用级加固容器集合库。通过采用 Canonical 的服务，企业可自动获得同等级别的公信力与合规性。当您的基础镜像与组件获得 Ubuntu Pro 安全体系的支持，并能提供可审计的维护活动证据时，满足 FedRAMP、DISA-STIG 或即将出台的《欧盟网络弹性法案》等标准将更为容易。

综上所述，容器构建服务依托于 Ubuntu Pro 的技术根基，并承袭了 Canonical 在开源安全领域长期的实践积淀。您的定制容器绝非普通非标镜像，它将升级为具备明确维护承诺与安全服务等级协议的企业级制品，此类特性将获得审计方与 IT 治理团队的深度认可。

Canonical 的容器构建服务致力于实现容器技术栈各层级的统一维护机制 — 从操作系统层到应用程序依赖组件层，均纳入系统化维护范畴。这些镜像融合精雕体积优化、十年长效更新及 Canonical 官方支持三大特性，专为生产环境匠心锻造。 

了解有关 Canonical 容器构建服务的更多信息 >

查看关于 Canonical 按需定制的基础架构解决方案（中文）>