-
프로덕션 환경의 보안 취약점(CVE)을 최소화하기 위해 설계된 경량 컨테이너 이미지 모음
-
Chainguard의 apko와 Wolfi 패키지를 기반으로 매일 재빌드되어 최신 보안 패치를 반영
- 불필요한 패키지를 제거해 공격 표면을 최소화하고, 대부분의 이미지가 0~5개 이하의 CVE만 포함
- Python, Node.js, Bun, Go, Nginx, HTTPD, Jenkins, Redis, PostgreSQL, SQLite 등 주요 런타임 및 서비스용 이미지 제공
- 각 이미지가 비 루트 사용자(non-root) 로 실행되며, 기본적으로 쉘이 포함되지 않음
-
보안 중심 설계
-
CVE 게이트를 통과하지 못하면 빌드 실패로 처리
-
cosign 기반 서명과 SBOM(Software Bill of Materials) 자동 생성
- 모든 이미지는 Sigstore의 keyless 서명으로 검증 가능
-
빌드 파이프라인 구조
- Wolfi 패키지 → apko로 OCI 이미지 생성 → Trivy로 CVE 스캔 → cosign+SBOM으로 서명 및 배포
- Jenkins, Redis 등은 melange를 통해 소스 빌드 후 통합
-
자동 업데이트 및 유지보수 방식
- 매일 UTC 2시 자동 빌드로 최신 CVE 패치 반영
- main 브랜치 병합 시 구성 변경 자동 배포
- 수동 트리거로 긴급 재빌드 지원
-
보안 및 컴플라이언스 대응 효과
- SOC2, FedRAMP, PCI-DSS 등 보안 감사 및 규제 준수 용이
- Debian/Ubuntu 대비 패치 반영 속도 10배 이상 향상(48시간 이내)
-
서명 검증 및 SBOM 제공으로 공급망 보안 강화
-
MIT 라이선스 기반 공개
- 각 이미지에 포함된 서드파티 패키지는 Apache-2.0, MIT, GPL, BSD 등 개별 라이선스 명시
- SBOM을 통해 모든 패키지의 라이선스 정보 확인 가능