# Minimal - CVE 취약점이 최소화된 컨테이너 이미지 컬렉션

> Clean Markdown view of GeekNews topic #26354. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=26354](https://news.hada.io/topic?id=26354)
- GeekNews Markdown: [https://news.hada.io/topic/26354.md](https://news.hada.io/topic/26354.md)
- Type: news
- Author: [xguru](https://news.hada.io/@xguru)
- Published: 2026-02-03T09:31:02+09:00
- Updated: 2026-02-03T09:31:02+09:00
- Original source: [github.com/rtvkiz](https://github.com/rtvkiz/minimal)
- Points: 10
- Comments: 2

## Summary

**Minimal**은 프로덕션 환경에서 **CVE 취약점을 최소화**하도록 설계된 경량 컨테이너 이미지 컬렉션입니다. Chainguard의 apko와 Wolfi 패키지를 기반으로 매일 재빌드되어 최신 보안 패치를 반영하며, 대부분의 이미지는 0~5개 이하의 CVE만 포함합니다. 모든 이미지는 비루트 사용자로 실행되고 cosign 기반 서명과 SBOM을 자동 생성해, 공급망 보안과 규제 준수 요구를 동시에 충족합니다.

## Topic Body

- **프로덕션 환경의 보안 취약점(CVE)을 최소화**하기 위해 설계된 경량 컨테이너 이미지 모음  
- **Chainguard의 apko**와 **Wolfi 패키지**를 기반으로 매일 재빌드되어 최신 보안 패치를 반영  
- 불필요한 패키지를 제거해 **공격 표면을 최소화**하고, 대부분의 이미지가 **0~5개 이하의 CVE**만 포함  
- Python, Node.js, Bun, Go, Nginx, HTTPD, Jenkins, Redis, PostgreSQL, SQLite 등 **주요 런타임 및 서비스용 이미지 제공**  
  - 각 이미지가 **비 루트 사용자(non-root)** 로 실행되며, 기본적으로 **쉘이 포함되지 않음**  
- **보안 중심 설계**  
  - **CVE 게이트**를 통과하지 못하면 빌드 실패로 처리  
  - **cosign 기반 서명**과 **SBOM(Software Bill of Materials)** 자동 생성  
  - 모든 이미지는 **Sigstore의 keyless 서명**으로 검증 가능  
- **빌드 파이프라인 구조**  
  - Wolfi 패키지 → apko로 OCI 이미지 생성 → Trivy로 CVE 스캔 → cosign+SBOM으로 서명 및 배포  
  - Jenkins, Redis 등은 **melange**를 통해 소스 빌드 후 통합  
- **자동 업데이트 및 유지보수 방식**  
  - 매일 UTC 2시 자동 빌드로 최신 CVE 패치 반영  
  - main 브랜치 병합 시 구성 변경 자동 배포  
  - 수동 트리거로 긴급 재빌드 지원  
- **보안 및 컴플라이언스 대응 효과**  
  - SOC2, FedRAMP, PCI-DSS 등 **보안 감사 및 규제 준수 용이**  
  - Debian/Ubuntu 대비 **패치 반영 속도 10배 이상 향상(48시간 이내)**  
  - **서명 검증 및 SBOM 제공**으로 공급망 보안 강화  
- **MIT 라이선스** 기반 공개  
  - 각 이미지에 포함된 서드파티 패키지는 **Apache-2.0, MIT, GPL, BSD 등 개별 라이선스** 명시  
  - SBOM을 통해 모든 패키지의 라이선스 정보 확인 가능

## Comments



### Comment 50550

- Author: click
- Created: 2026-02-03T18:25:34+09:00
- Points: 1

요새는 라이브러리 공급망 공격도 많아서 매일매일 최신버전으로 업데이트하는 게 오히려 안전하지 않을 때도 있어보여요

### Comment 50547

- Author: t7vonn
- Created: 2026-02-03T16:55:42+09:00
- Points: 1

https://github.com/GoogleContainerTools/distroless 요거랑 어떤 차이가 있는지 잘 모르겠네요