Canonical, la compañía detrás de Ubuntu, ha anunciado Everything LTS, un nuevo servicio con el que pretende proporcionar imágenes de contenedores Docker sin distribución (distroless), con doce años de actualizaciones de seguridad y con compatibilidad con una gran diversidad de anfitriones, entre los que se encuentran el propio Ubuntu, Red Hat Enterprise Linux (RHEL), VMware y nubes públicas basadas en Kubernetes.
Canonical dice que Everything LTS “amplía Ubuntu Pro con miles de nuevos componentes de código abierto, incluidas las últimas dependencias de IA/ML y herramientas para aprendizaje automático, entrenamiento e inferencia, que se mantienen como una fuente junto con Ubuntu en lugar de como paquetes Deb. Los clientes contratan a Canonical para diseñar una imagen de Docker de una aplicación de código abierto, o una imagen base que incluya todas las dependencias de código abierto para alojar su aplicación privativa”.
Además de imágenes de contenedor basadas en Ubuntu, Canonical también pondrá a disposición imágenes de Docker sin distribución. Lo primero no hace falta explicarlo porque se trata del paradigma que se suele aplicar de manera predeterminada, pero lo segundo sí conviene exponer qué es.
Básicamente, una imagen de contenedor sin distribución, de la que deriva un contenedor sin distribución, es un paradigma en el que una imagen de Docker solo contiene los ficheros específicamente requeridos para ejecutar una única aplicación, sin que nada sobre. Si bien no es en realidad un concepto nuevo, su creación se hace o al menos se hacía desde cero, lo que deriva en dificultades en el diseño o en la depuración por parte de los desarrolladores a la hora de trabajar con aplicaciones sofisticadas que manejan muchos componentes, lenguajes y entornos de ejecución.
Debido a la dificultad que entrañan los contenedores sin distribución, aquí es donde entran los contenedores cincelados de Ubuntu (chiselled Ubuntu containers), que son contenedores construidos sobre Ubuntu con una herramienta llamada Chisel (cincel), la cual se encarga de incluir solo los ficheros necesarios para la aplicación.
El contenedor sin distribución tiene dos beneficios: primero, una reducción del tamaño del propio contenedor, lo que deriva en una menor cantidad de recursos acaparados. Segundo, y gracias a la menor cantidad de componentes, se reduce la superficie de ataque y las probabilidades de que haya alguna vulnerabilidad presente. Canonical ha hecho mención a una investigación en la que se dice que “el 84% de las bases de código tienen al menos una vulnerabilidad de código abierto y que el 48% de esas vulnerabilidades son de alto riesgo”. Esto evidencia la necesidad de reducir los contenedores al mínimo.
Lejos de ser un concepto solo expuesto de manera teórica, Microsoft y Canonical han creado contenedores “cincelados” para la comunidad que hay en torno al framework .NET. Con el uso de Chisel se ha conseguido reducir el tamaño de los contenedores oficiales de .NET en 100 megabytes, mientras que la imagen base con el entorno de ejecución para las aplicaciones .NET autocontenidas ocupa solo 6 megabytes tras ser comprimida.
Mark Shuttleworth, CEO de Canonical, explica que “Everything LTS significa mantenimiento de CVE para todo el árbol de dependencias de código abierto, incluido el código abierto que aún no está empaquetado como Deb en Ubuntu. Entregamos imágenes de Docker sin distribución o basadas en Ubuntu según sus especificaciones, que soportaremos en RHEL, VMware, Ubuntu o las principales implementaciones de Kubernetes en nube pública. Nuestros clientes empresariales e ISV ahora pueden contar con Canonical para cumplir con los requisitos regulatorios de mantenimiento con cualquier pila de código abierto, sin importar cuán grande o compleja sea, donde quieran implementarla”.
Otro aspecto a tener en cuenta es que “las suscripciones a Ubuntu Pro incluyen el derecho a ejecutar contenedores ‘Everything LTS’ ilimitados. Los hosts de VMware, RHEL y de nube pública son compatibles al mismo precio que los hosts de Ubuntu Pro”.
Los doce años de soporte de seguridad, unidos a la reducción de la superficie de ataque que aportan los contenedores sin distribución, forman una combinación que según Canonical contribuye mucho a nivel de seguridad, y no se puede negar que, al menos según lo expuesto a través del anuncio oficial, Everything LTS pinta ser algo bastante atractivo para las empresas, que por lo general suelen apostar por entornos bastante estancos.
Los que quieran conocer todos los detalles sobre Everything LTS pueden ver la entrada publicada en el blog oficial de Canonical.