Chiselled Ubuntu容器是Canonical發布的精簡小型OCI映像檔,適用於Java、.NET與Python雲端應用程式開發,有效減少攻擊面還大幅縮小容量。
文/李建興 | 2023-11-27發表
Canonical發布Chiselled Ubuntu容器,這是一個超小型OCI映像檔,僅提供應用程式和執行環境相依項目,而不包含其他作業系統層級的套件、公用程式或是函式庫,以提高容器的安全性並減少整體容量大小。Canonical提供了Java和Python預先建置Chiselled Ubuntu容器映像檔,並且透過與微軟的合作,也推出適用於.NET 6、.NET 7與.NET 8開發用Chiselled Ubuntu容器映像檔。
Chiselled Ubuntu容器是一種特殊的容器映像檔,其設計理念是去除一般Ubuntu容器映像檔中非必要的元件,只保留應用程式執行所必須的核心部分。Chiselled Ubuntu容器映像檔缺少殼層和套件管理器,大幅限制了攻擊面,而且因為映像檔不含curl和wget,因此攻擊者也無法下載並執行控制伺服器上的殼層腳本。
另外,這些映像檔以非根用戶身分執行,進一步限制了映像檔中允許的操作,因為非根使用者僅有應用程式的讀取和執行權限。這樣的設計使容器映像檔變得更小更安全,非常適合用於雲端應用程式部署,既減少了容量需求同時也降低資安風險。
預建置結合.NET和Java等開發工具鏈的Chiselled映像檔,提供開發者簡單且安全的生產環境,包含Java執行環境引擎的Chiselled映像檔,在不影響吞吐量和啟動效能的情況下,容量比Eclipse Temurin Java 17執行環境映像檔小了約51%。
.NET 8.0的Chiselled容器映像檔也只包含7個元件,僅有被高頻率使用如OpenSSL等相依項目才會被包進映像檔中。未經壓縮的aspnet Chiselled映像檔僅約110 MB,相較於現有Ubuntu映像檔減少超過100 MB,大小與Alpine映像檔相當,是微軟目前發布含glibc體積最小、元件最少的映像檔。
線