Google, Bazel derleme sistemini kullanarak kapsayıcı görüntüleri oluşturmayı daha basit ve daha güvenli hale getirdi.
Make ve Maven’e benzer açık kaynaklı bir derleme ve test aracı olan Bazel, birden çok dilde projeleri destekler ve birden çok platform için derleme yapar. Geliştiriciler Starlark kullanıyor, Bazel’e ne yapması gerektiği konusunda talimat veren kurallar oluşturmak için insan tarafından okunabilir, üst düzey bir yapı dili. Bir kural, girdi dosyalarını ve sonuç olarak oluşturulacak çıktı türünü, örneğin yürütülebilir dosya veya kitaplık dosyası gibi belirtir. İlgili kurallar, ikili dosyalar oluşturma ve testleri çalıştırma kuralları gibi bir kural kümesinde birleştirilir.
Bazel, Distroless derlemeler veya çalışma zamanı kapsayıcısında bulunanların yalnızca uygulama için gerekli bileşenlerle sınırlandırıldığı minimum temel görüntüler oluşturmak için kullanılabilir. Minimal temel görüntüler, bileşenlerdeki güvenlik açıklarıyla ilişkili riskleri yönetme yükünü azaltır ve yazılım esnek zincirindeki yönetişim sorunlarını ele alır.
Google Açık Kaynak Güvenlik Ekibi’nden Appu Goundan, Rules_oci’nin genel kullanılabilirliğini duyuran gönderide, yeni Rules_oci kural kümesinin kapsayıcı görüntülere tedarik zinciri güvenliği meta verileri ekleyerek Distroless derlemeleri oluşturma sürecini “modernize ettiğini” yazdı. Bazel, bağımlılıkları bütünlük karması ile yönetmeyi ve önbelleğe almayı desteklediğinden, tedarik zinciri hakkında güvence verebilir. Geliştiriciler, kapsayıcıya nelerin girdiğini gösteren bir yazılım malzeme listesi alır ve kuruluşların kullandıkları görüntüler hakkında bilinçli kararlar almasına olanak tanır.
Kod imzalama, kullanıcıların, onu imzalayan geliştirici tarafından oluşturulduktan sonra kapsayıcı görüntüsünün başka biri tarafından değiştirilmediğini doğrulamasına olanak tanır.
Yeni Rules_oci kural seti, Bazel kullanan geliştiricilerin artık bakım modunda olan eski Rules_docker kural setini kullanmak yerine Docker konteynırları oluşturmasına olanak tanır. Yeni kural setinin eskisine göre avantajı şudur: makinede bir docker arka plan programı yüklü olmasa bile geliştiricilerin Docker kapsayıcıları oluşturmasına olanak tanır. Kuruluşların Rules_docker’ı kullanmaktan Rules_oci’ye geçmesine yardımcı olacak bir Geçiş kılavuzu vardır.