Red Hat推出強化容器映像檔，內建SBOM提升供應鏈透明度

Red Hat表示，這批正式供應的強化映像檔涵蓋企業工作負載常用的程式語言、執行環境、資料庫、網頁伺服器與工具，包括Python、Node.js、Go、Java、.NET、PostgreSQL、Valkey、Nginx與HAProxy等。

Red Hat推出這項服務，主要是因應容器基礎映像檔帶來的軟體供應鏈風險。Red Hat在部落格中指出，目前平均每天約有160個通用漏洞揭露（Common Vulnerabilities and Exposures，CVE）編號被公開，加上自動化掃描工具與AI輔助漏洞發掘工具普及，企業後續可能需要處理更多漏洞警示。單一容器掃描就可能列出數百個漏洞項目，使資安團隊必須花費大量時間判斷哪些漏洞真正影響應用程式。

Red Hat Hardened Images的核心設計包括distroless架構、可信任相依套件、自動化修補與多雲可攜性。所謂distroless架構，是指預設不包含命令列Shell、套件管理工具與非必要元件，藉此縮小攻擊者可利用的攻擊面。Red Hat也提供多種映像檔變體，包括兼顧distroless原則與上游映像檔相容性的預設版本、保留安全強化但允許安裝套件以利客製化建置的Builder版本，以及面向受監管環境的美國聯邦資訊處理標準（Federal Information Processing Standards，FIPS）驗證變體；部署架構則涵蓋AMD64與Arm64。

在供應鏈透明度方面，Red Hat Hardened Images內建軟體物料清單（Software Bill of Materials，SBOM），讓企業更容易掌握映像檔組成內容，並支援法遵稽核與報告需求。Red Hat也表示，這些映像檔的相依套件來自Red Hat的SLSA第3級建置管線（Supply-chain Levels for Software Artifacts Level 3，SLSA3），維持從原始碼到成品的可驗證信任鏈；合規相關設定可透過開源組態與合規掃描工具OpenSCAP驗證。Red Hat也指出，這些映像檔可在公有雲與內部部署基礎架構維持一致的操作體驗，協助降低企業遭特定供應商綁定的風險。

Red Hat表示，Red Hat Hardened Images提供的每個映像檔都可免費使用，並可用於任何Linux發行版、任何Kubernetes版本或任何容器引擎。對於需要較長生命週期的使用者，該公司也預計後續提供長期支援（Long-Term Support，LTS）映像檔，並以選購訂閱模式供應。