Canonical が公表した Everything LTS とは? 必要最小限の Ubuntu コンテナが攻撃面積を狭める

Canonical Unveils ‘Everything LTS’: 12-Year Security for Custom Docker Images

2024/06/26 SecurityOnline — 6月26日に Canonical は、Long Term Support (LTS) サービスの大幅な拡充を発表し、従来からの “deb” パッケージに加えて、ディストリビューションが不要の Dockerイメージの設計/構築サービスも、新たに提供することを明らかにした。このサービスは、対象となるソフトウェアが事前に Ubuntu でパッケージ化されているかどうかに関係なく、あらゆるオープンソースのアプリケーションや依存関係に対して、12年間のセキュリティ・メンテナンスを提供するものだという。


Canonical の CEO である Mark Shuttleworth は、「Everything LTS は、Ubuntu 内に “deb” としてパッケージされていないオープンソースを取り込んだかたちで、それらの依存関係ツリーに対して、包括的な CVE メンテナンスを実現する。ユーザーの仕様に合わせて、ディストリビューション・レスもしくは、Ubuntu ベースの Docker イメージを提供する。このサービスは、RHEL/VMware/Ubuntu または、主要なパブリック・クラウド Kubernetes 上でサポートされる。Canonical のユーザーであるエンタープライズや ISV は、どのようなオープンソース・スタックであっても、どんなに大規模で複雑であってもデプロイが可能であり、規制上のメンテナンス要件を満たすことが可能になる」と述べている。

Canonical の、新たな Everything LTS イニシアチブは、最新の AI/ML 依存関係や機械学習/訓練/推論のためのツールを取り込んだかたちで、何千もの新しいオープンソース・コンポーネントを統合することで、Ubuntu Pro を拡張していくものだ。これらのコンポーネントは、従来の “deb” パッケージではなく、Ubuntu と一緒にソースとしてメンテナンスされる。この CVE セキュリティ保守への取り組みにより、FIPS/FedRAMP/EU Cyber Resilience Act (CRA)/FCC U.S. Cyber Trust Mark/DISA-STIG などの規制基準への準拠が保証される。

現時点においてユーザーは、オープンソース・アプリケーションの Docker イメージや、独自のアプリケーションを、Canonical にホストするために必要な、すべての依存関係を含むベースイメージを設計してもらうことが可能である。つまり、ユーザーは、最小限に絞り込まれた攻撃対象領域と、長期的な CVE メンテナンスを備えた、ハードニングされたディストリビューション・レスのコンテナ・イメージを受け取ることができる。これらの Open Container Initiative (OCI) 標準に準拠したイメージは、Ubuntu/Red Hat Enterprise Linux (RHEL)/VMware Kubernetes/パブリック・クラウド Kubernetes などのプラットフォーム上でネイティブに動作する。Canonical は、それら全ての環境で、一連のカスタムビルド・イメージをサポートしている。

この業界における調査によると、コードベースの 84% に、少なくとも1つのオープンソース脆弱性があり、そのうちの 48% は高リスクであるという。単一のアプリケーションを実行するのに必要なファイルのみを取り込んだディストリビューション・レスのコンテナは、攻撃対象領域が小さく、悪用されにくいはずだ。

Chisel でビルドされた Ubuntu コンテナには、アプリケーションに絶対に必要なファイルのみが取り込まれ、余分なメタデータやツールは除かれる。その結果として、使い慣れた Ubuntu ツール・チェーンを活用しながら、攻撃対象領域を大幅に削減する、超小型で効率的なコンテナが実現する。開発者は完全な Ubuntu 環境で作業し、Chisel を使用して、ディストリビューション・レスの本番環境のアーティファクトを作成し、デバッグと分析を簡素化できる。

Canonical のコンテナ設計/構築サービスに含まれるのは、アプリの依存関係ツリーを分析し、リストされていないオープンソース・コンポーネントを特定する機能である。したがって、それらを CVE メンテナンスの下に置きながら、Chisel でディストリビューション・レスのコンテナ・イメージを作成できる。自動化されたパイプライン・アップデートにより、重要なパッチが迅速に適用され、脆弱性を最小限に抑えることが可能となる。

さらに Canonical は、Microsoft と提携し、.NET コミュニティ向けに Chisel コンテナを作成し、公式の .NET コンテナ・サイズを 100MB も縮小している。自己完結型の .NET アプリケーションの場合には、Chisel 化されたランタイムベース・イメージは僅か 6MB に圧縮され、パフォーマンスが向上し、メモリ・オーバーヘッドが削減されるという。このパートナーシップにより、信頼できるサプライチェーンとシームレスな統合が保証される。

なんというか、ものすごく頑張っている Canonical という感じです。文中のコメントは、安全で小型で使いやすいコンテナのための考え方を、説明しているようにも思えてきます。また、CVE と依存関係のトラッキング/メンテナンスという部分も、とても気になります。この勢いで、突っ走ってほしいです。よろしければ、Ubuntu で検索も、ご利用ください。