O Google anunciou na semana passada a disponibilidade geral de “rules_oci”, um plug-in Bazel de código aberto para criar imagens de contêiner. O Bazel, segundo a empresa, melhora a confiança da cadeia de suprimentos usando hashes de integridade das dependências. O Google usa essa ferramenta de compilação e teste para criar imagens base distroless para docker. As imagens distroless também visam melhorar a segurança da cadeia de suprimentos, pois são imagens base mínimas que incluem apenas o que é necessário para a execução dos aplicativos.
“O uso de imagens base mínimas reduz a carga de gerenciamento de riscos associados a vulnerabilidades de segurança, licenciamento e problemas de governança na cadeia de suprimentos para criar aplicativos”, explica o Google.
O conceito de distroless é empacotar aplicativos em imagens de contêiner e, ao mesmo tempo, remover o máximo possível do sistema operacional (gerenciadores de pacotes, bibliotecas, shells etc.), o que se traduz em mais segurança.
De acordo com a gigante da internet, o “rules_oci”, o novo conjunto de regras que substitui o “rules_docker”, que antes era usado para construir imagens de contêineres, traz inúmeras melhorias, incluindo recursos relacionados à segurança.
O novo plug-in pode usar cadeias de ferramentas confiáveis de terceiros, não requer a execução de um daemon docker já existente na máquina e não inclui regras específicas do idioma. Ele também permite o uso transparente de registros privados e fornece aos usuários uma lista de materiais de software (SBOM), para que possam verificar a origem das dependências.
Veja isso
Google removerá indicadores de sites seguros no Chrome 117
Google bloqueia 1,4 milhão de apps e bane 173 mil contas ilegais
O plug-in também suporta assinatura nativa de imagens, suporte nativo para índices oci (imagens multiplataforma), cache e busca aprimorados e um atestado assinado para imagens distroless, que inclui SBOMs.
“No final, o ‘rules_oci’ nos permitiu modernizar a compilação do distroless e, ao mesmo tempo, adicionar os metadados de segurança da cadeia de suprimentos necessários para permitir que as organizações tomem melhores decisões sobre as imagens que consomem”, afirma o Google.Na sexta-feira, 5, a gigante da internet anunciou que a versão 1.0 do “rules_oci” já está disponível, acompanhada de um guia para ajudar as organizações a migrar do “rules_docker” para o novo conjunto de regras.