Réduire l’empreinte des conteneurs et la surface d’attaque par la même occasion ? Chez Canonical, on pousse cette logique avec Chisel.

L’outil – open source – permet de découper des paquets Debian en « tranches ». Il se fonde sur le fait que les applications n’exploitent généralement qu’un sous-ensemble de chacune de leurs dépendances.

Canonical met en vitrine sa collaboration avec Microsoft. Elle a débouché, fin 2023, sur la publication d’images « chiselled » pour .NET 6, 7 et 8.

L’éditeur propose désormais officiellement, dans le cadre de son abonnement Ubuntu Pro, un service de conception de telles images. Il lui associe, sous la bannière « Everything LTS », des prestations de support. En première ligne, jusqu’à 12 ans de correctifs pour les CVE critiques… et pas seulement pour les paquets .deb – d’où le « Everything ». Canonical promet effectivement une maintenance élargie à des « milliers » de composants supplémentaires. En particulier, « plus de 2000 » bibliothèques et outils IA/ML (il cite PyTorch, TensorFlow, Rapids, Triton et CASK).

Les images ainsi conçues peuvent encapsuler des applications open source ou bien une base pour héberger des apps propriétaires. Sur le papier, Canonical analysera l’arbre de dépendances, identifiera les composants pas encore couverts par la maintenance CVE et les y intégrera, puis créera l’image, qui pourra être « chiselled » sur demande.

La prise en charge s’étend à :

– RHEL (pour une utilisation sur OpenShift ou sur une autre distro K8s certifiée)

– Ubuntu (sur MicroK8s ou Charmed Kubernetes)

– VMware (sur Tanzu Kubernetes Grid ou vSphere avec Kubernetes)

– Les offres Kubernetes d’Azure, AWS, Google Cloud, IBM Cloud et OCI

On nous promet, sans la chiffrer, la même tarification peu importe le type d’hôte.

Illustration principale © Bob Venezia – Shutterstock