Fornecendo sizzling patches seguros
Ter uma abordagem de segurança orientada por políticas ajuda a solucionar problemas rapidamente. Se, digamos, uma camada de contêiner comum tiver uma vulnerabilidade, você poderá criar e verificar uma camada de patch e implantá-la rapidamente. Não há necessidade de corrigir tudo no contêiner, apenas os componentes relevantes. A Microsoft já faz isso para recursos do sistema operacional há algum tempo, como parte de sua estratégia interna. Projeto Copacéticoe está estendendo o processo para tempos de execução e bibliotecas comuns, criando patches com pacotes atualizados para ferramentas como Python.
Como essa abordagem é de código aberto, a Microsoft está trabalhando para fazer o upstream do dm-verity no kernel do Linux. Você pode pensar nisso como uma forma de implantar sizzling fixes em contêineres entre a construção de novas imagens imutáveis, substituindo rapidamente códigos problemáticos e mantendo seus aplicativos em execução enquanto você cria, testa e verifica seu próximo lançamento. Russinovich descreve isso como o lançamento de “um sizzling repair em algumas horas, em vez de dias”.
Fornecer as ferramentas necessárias para garantir a entrega de aplicativos é apenas parte da mudança da Microsoft para definir contêineres como o pacote padrão para aplicativos Azure. Fornecer melhores formas de dimensionar frotas de contentores é outro requisito elementary, tal como melhorar a rede. O foco de Russinovich em contêineres faz sentido, pois eles permitem agrupar todos os componentes necessários de um serviço e executá-lo com segurança em escala.