Canonical lance un nouveau service de conception et de construction d’images Docker open source avec la maintenance de sécurité de 12 ans pour les images, indépendamment de leur intégration dans Ubuntu.
Canonical, un leader de l’Open Source et éditeur d’Ubuntu annonce élargir son offre LTS au-delà des paquets « deb » d’Ubuntu, avec un nouveau service de conception et de construction d’images Docker sans distorsion, avec une maintenance de sécurité de 12 ans pour toute application ou dépendance open source, que ce logiciel soit ou non déjà packagé dans Ubuntu.
Les images Docker construites sans distorsion selon les spécifications du client incluent des composants en amont non packagés dans Ubuntu, et corrige les CVE critiques dans les 24 heures, avec un support sur RHEL, Ubuntu, VMware ou les K8 du cloud public sur plus de 12 ans.
L’image Docker – un format d’image de conteneur standard de l’Open Container Initiative (OCI) – fonctionne nativement sur Ubuntu ainsi que sur Red Hat Enterprise Linux (RHEL), VMware Kubernetes ou le cloud public K8s. Canonical prendra en charge ces images personnalisées sur toutes ces plateformes.
« Tout ce qui est LTS signifie la maintenance CVE pour l’ensemble des dependancies open source, y compris l’open source qui n’est pas déjà intégré en tant que deb dans Ubuntu », a déclaré Mark Shuttleworth, PDG de Canonical. « Nous livrons des images Docker sans distorsion ou basées sur Ubuntu répondant aux spécifications de nos clients, que nous prendrons en charge sur RHEL, VMware, Ubuntu ou les principaux clouds publics K8. Nos clients entreprises et ISV peuvent désormais compter sur Canonical pour répondre aux exigences réglementaires en matière de maintenance avec n’importe quelle pile open source, quelle que soit sa taille ou sa complexité, quel que soit l’endroit où ils souhaitent la déployer. »
Canonical offre « Everything LTS » élargit d’Ubuntu Pro avec des milliers de nouveaux composants open source en amont, y compris les dernières dependancies AI/ML et les outils pour l’apprentissage automatique, la formation et l’inférence, qui sont maintenus en tant que source avec Ubuntu au lieu de paquets « deb ».
L’engagement de Canonical en matière de maintenance de la sécurité CVE pour ces composants open source facilite la conformité avec les lignes de base réglementaires telles que FIPS, FedRAMP, EU Cyber Resilience Act (CRA), FCC U.S. Cyber Trust Mark et DISA-STIG.
Les abonnements Ubuntu Pro comprennent le droit d’exécuter un nombre illimité de conteneurs « Everything LTS ». Les hôtes VMware, RHEL et les clouds publics sont pris en charge au même prix que les hôtes Ubuntu Pro.
Les conteneurs Ubuntu Chiselés sont des conteneurs distroless construits sur Ubuntu avec Chisel pour n’inclure que les fichiers strictement nécessaires à l’application. Ces conteneurs ultra-petits et efficaces réduisent considérablement leur surface d’attaque. Le débogage de ces conteneurs est grandement simplifié car le même conteneur peut être construit sans Chisel, ce qui donne accès aux outils nécessaires pour analyser le comportement de l’application dans les environnements de test. Chisel permet une interopérabilité transparente entre un flux de travail d’ingénierie basé sur la distribution et un environnement de production distroless.
Dans le cadre du service de conception et de construction de conteneurs, Canonical analysera les dépendances d’une application, identifiera les composants open source qui ne sont pas encore couverts par Ubuntu Pro, les placera sous maintenance CVE et créera une image de conteneur qui pourra, soit être chiselisée et distroless. Une fois l’image du conteneur créée, l’automatisation du pipeline entraîne des mises à jour régulières, en veillant à ce que les correctifs pertinents soient inclus et en minimisant le nombre de vulnérabilités critiques et élevées.
Microsoft et Canonical ont créé des conteneurs chiselés pour la communauté .NET. Chisel réduit les conteneurs .NET officiels de 100 Mo. Pour les applications .NET autonomes, l’image de base du runtime chiselé n’est compressée qu’à 6 Mo. Cette empreinte réduite permet une mise en cache plus rapide, à travers les réseaux et entre le stockage et l’exécution, ainsi qu’une réduction de la surcharge de mémoire. La réduction de la taille et de la surface d’attaque n’est qu’un aspect de la stratégie commune en matière de conteneurs sécurisés. Les deux partenaires ont mis en place une chaîne d’approvisionnement à distance zéro afin de garantir la fiabilité de la provenance de tous les actifs utilisés dans les images de base .NET de Chiselled, de la source à l’artefact de production.
« Canonical et Microsoft sont des fournisseurs de confiance pour un grand nombre de clients communs », déclare Richard Lander, chef de produit .NET chez Microsoft. « Nous recevons des réactions très positives lorsque nous partageons ce que nous avons construit ensemble. Les clients veulent voir plus de collaborations comme celle-ci, où chaque aspect de la conception est centré sur les flux de travail des clients, la facilité d’utilisation et la sécurité. Travailler ensemble a permis d’obtenir un meilleur produit, ce que nous avons pu constater avec son adoption immédiate en production. »
Le format OCI, communément appelé image Docker, est un moyen standard d’exécuter des applications confinées sur n’importe quelle plateforme Linux. Avec Everything LTS, Canonical touche des clients au-delà d’Ubuntu et maintient n’importe quelle pile open source au format OCI, pour une utilisation certifiée sur les hôtes RHEL, Ubuntu et VMware, ainsi que sur les K8 du cloud public. Red Hat Enterprise Linux sera pris en charge lorsque les conteneurs sont exécutés sur OpenShift ou une autre distribution Kubernetes certifiée. Sur Ubuntu, les conteneurs seront pris en charge sur l’une des offres Kubernetes de Canonical – MicroK8s ou Charmed Kubernetes. VMware sera pris en charge sur Tanzu Kubernetes Grid ou vSphere with Kubernetes, ou sur les VM Ubuntu sur le cluster vSphere. Sur les clouds publics, Canonical prendra en charge les conteneurs sur les offres Kubernetes d’Azure, d’AWS, de Google, d’IBM et d’Oracle. AWS, Azure et Google proposent Ubuntu Pro de manière native dans leurs services IAAS. La nouvelle offre est incluse dans les abonnements Ubuntu Pro pour le cloud public sans coût supplémentaire.
« Assurer la conformité avec FedRAMP ou HIPAA est très difficile pour les RSSI. Il s’agit du moyen le plus simple et le plus rentable d’exécuter un ensemble de conteneurs conformes à grande échelle dans des clouds hybrides ou publics », a déclaré Alex Gallagher, responsable des alliances avec les clouds publics chez Canonical. « Nous travaillons en étroite collaboration avec des clouds publics certifiés pour optimiser la sécurité et les performances de Kubernetes, et intégrons Ubuntu Pro pour fournir un accès transparent et sans friction aux conteneurs LTS. »
Canonical peut annoncer qu’elle maintient désormais plus de 2 000 bibliothèques et outils d’IA/ML largement utilisés, notamment PyTorch, Tensorflow, Rapids,Triton, CASK et bien d’autres éléments essentiels en amont des dernières solutions d’apprentissage automatique et d’IA générative. Le portefeuille comprend des conteneurs LTS pour les MLOps, la gestion des données et les applications de streaming afin d’accélérer les initiatives de production d’IA des entreprises sans se soucier des charges de maintenance futures.
Canonical a inventé le terme « Long Term Support » avec le premier Ubuntu LTS en 2006. L’entreprise est réputée pour la qualité et la rapidité de sa maintenance en matière de sécurité, car elle fournit des correctifs pour davantage de CVE. Le temps moyen de correction des CVE critiques est inférieur à 24 heures, ce qui explique pourquoi Ubuntu Pro est à la base de la sécurité des marques SaaS mondiales et des offres d’intelligence artificielle, ainsi que des solutions d’entreprise des principaux éditeurs de logiciels indépendants (ISV).
Canonical et Ubuntu Pro permettent aux entreprises et aux éditeurs de logiciels indépendants de se conformer aux réglementations à venir, telles que la loi européenne sur la cyber-résilience (CRA). Les images fournies dans le cadre du service de création de conteneurs hériteront de cet avantage, ce qui permettra aux entreprises de se décharger sur Canonical du poids que représente le respect des exigences strictes en matière de rapports et de remédiation. Les conteneurs soutenus par Canonical sont reconnus dans les environnements hautement réglementés. Par exemple, les conteneurs Ubuntu renforcés sont pré-approuvés pour être utilisés par les agences gouvernementales américaines et les fournisseurs de logiciels sur l’Iron Bank, un dépôt de conteneurs sécurisé géré par la Platform One du ministère américain de la défense. Ubuntu Pro donne accès à des paquets cryptographiques certifiés FIPS 140-2, ce qui facilite la conformité aux normes FedRAMP, HIPAA et PCI-DSS, entre autres régimes réglementaires.