Roland W. Kunz/Getty Images
LONDON — Ketika saya bertemu dengan teman open-source saya, Dustin Kirkland, VP teknik di Chainguard, di KubeCon Eropa, dia bilang saya harus berterima kasih atas distribusi Linux baru perusahaannya, Chainguard OS.
Mengapa? Pada cerita saya bulan Mei 2024 tentang keamanan kernel, saya bilang semua distro telah melakukan keamanan Linux dengan cara yang salah. (Itu kesimpulan dari studi CIQ, pemelihara kernel Linux stabil Greg Kroah-Hartman, dan pengembang Linux teratas Kees Cook.)
“Lampu pijar menyala,” Kirkland memberi tahu saya, “dan saya menyadari, wah, ini adalah potongan yang saya lewatkan, karena kami membangun produk kami sekitar kontainer yang dipadatkan, bukan mesin virtual, bukan distro lengkap.”
Juga: 5 distro Linux terbaik untuk tetap anonim – ketika VPN tidak cukup
Sebelumnya, perusahaan kontainer aman berbasis Kirkland, Washington merilis Wolfi, sebuah “undistribusi” dengan semua perangkat lunak yang Anda butuhkan untuk kontainer kecuali Linux. Baru-baru ini, Chainguard telah mempertimbangkan untuk membangun Linux perusahaan aman mereka sendiri. Tapi, kata Kirkland, itu akan membutuhkan banyak pekerjaan dan sekitar satu lusin pengembang kernel Linux. Namun, dengan menggunakan pendekatan yang saya deskripsikan dalam cerita, mereka bisa membangun distribusi yang lebih aman dengan jauh lebih sedikit pekerjaan dan uang.
Bagaimana? Seperti yang dijelaskan oleh Kroah-Hartman, Anda harus selalu menggunakan kernel LTS terbaru (LTS). Kata kunci di sini adalah “terbaru.” Tidak cukup hanya menggunakan LTS. Anda harus menggunakan rilis terbaru untuk menjadi seaman mungkin. Cook menambahkan, “Jawabannya sederhana, meskipun menyakitkan: Terus memperbarui ke rilis kernel terbaru, baik mayor atau stabil.”
Kroah-Hartman sering mengatakan, “Setiap bug memiliki potensi menjadi masalah keamanan pada level kernel.” Jonathan Corbet, pengembang kernel Linux dan editor-in-chief LWN, menambahkan: “Di kernel, hampir setiap bug, jika Anda cukup cerdas, dapat dieksploitasi untuk mengompromikan sistem. Kernel berada di posisi unik dalam sistem… itu mengubah banyak bug biasa menjadi kerentanan.”
Sekarang bahwa Linux bertanggung jawab untuk menerbitkan CVE-nya sendiri, versi terbaru kernel LTS mendapatkan perbaikan untuk semua bug yang diketahui segera setelah tersedia. Dengan demikian, dengan melacak pohon kernel LTS dan menerbitkan rilis Linux yang bergulir segera, Anda dapat yakin bahwa Chainguard OS Anda seaman mungkin.
Selain itu, Chainguard OS menggunakan sistem build otomatis Chainguard, Pabrik Chainguard, untuk menghilangkan bloatware perangkat lunak yang tidak perlu dan mengurangi permukaan serangan potensial. Desain ini memastikan sistem operasi mengandung sedikit dependensi, menurunkan kemungkinan celah keamanan.
Juga: Saya pengguna Linux yang handal dan distro ini memiliki pendekatan yang paling menyegarkan dalam desain OS
OS juga dirancang dengan infrastruktur tidak tepercaya yang tidak berubah. Pendekatan ini meningkatkan keamanan dengan memastikan bahwa setiap komponen diverifikasi dan dipercaya, meminimalkan risiko serangan rantai pasokan. Oleh karena itu, saat patch baru keluar, Anda tidak memperbarui sistem operasi sama sekali. Sebaliknya, Anda menggantinya sepenuhnya dengan model yang baru, benar-benar aman.
Chainguard OS juga terus-menerus diverifikasi untuk memastikan tetap bebas dari kerentanan. Proses verifikasi berkelanjutan ini membantu menjaga lingkungan pengembangan dan penyebaran perangkat lunak yang aman. Misalnya, jika lubang keamanan baru ditemukan, misalnya, di Python tetapi tidak di Linux, seluruh sistem operasi, Python, dan program-program perangkat lunak lainnya ditarik sebagai paket tunggal dan diganti.
Chainguard OS adalah bagian dari strategi yang lebih luas oleh Chainguard untuk mengamankan rantai pasokan perangkat lunak. Perusahaan telah membuat kemajuan signifikan dengan gambar kontainer dan perpustakaan, yang dirancang untuk menghilangkan kerentanan dan memberikan dasar yang aman untuk para pengembang. Dengan memperluas pendekatan ini ke level sistem operasi, Chainguard memberdayakan pengembang untuk fokus pada membangun perangkat lunak yang aman tanpa beban memperbaiki kerentanan warisan.
Juga: 4 alasan mengapa unduhan LibreOffice meningkat secara signifikan (petunjuk: Anda akan merasa terkait)
Mengapa tidak semua orang melakukan ini? Jika Anda bergantung pada versi Linux tertentu untuk beban kerja Linux perusahaan Anda, yang dilakukan banyak bisnis, Anda tidak ingin fondasi sistem operasi Anda berubah secara konstan. Itulah mengapa distro Linux yang sudah ketinggalan seperti CentOS masih memiliki pengguna. Mereka mengandalkan TuxCare Endless Life Cycle, Dukungan Akhir Hidup OpenLogic CentOS, atau Dukungan Multi-Linux SUSE, sebelumnya Liberty Linux, untuk dukungan.
Tapi jika keamanan adalah prioritas utama untuk beban kerja Linux perusahaan Anda, Anda akan ingin menggunakan gambar Chainguard, yang dibangun di atas Chainguard OS. Chainguard OS tidak tersedia sebagai distro mandiri; itu bukan pasar Chainguard.
Namun, jika Anda meminta dengan sopan, mungkin mereka akan mempertimbangkannya. Sementara itu, jika Anda menjalankan sebagian besar pekerjaan Anda di cloud, periksa gambar kontainer, perpustakaan bahasa, dan mesin virtual (VM) mereka. Anda akan senang Anda melakukannya.
Tetap di depan berita keamanan dengan Tech Today, dikirimkan ke inbox Anda setiap pagi.