BellSoft 发布 Java 加固镜像

BellSoft 发布全新容器安全解决方案，旨在应对企业软件供应链中日益严重的漏洞危机。

在 KubeCon 2025 大会上，BellSoft 发布新的“加固镜像”产品，将 Java 运行时优化、操作系统加固与主动 CVE 修复合而为一。据官方新闻稿称，这种一体化方案可将已知漏洞减少 95%，还将资源消耗最多压低 30%。

容器安全仍是软件开发团队长期面临的挑战。BellSoft 引用 NetRise 的行业数据指出，一个典型的容器镜像可能暗藏 600 多个已知漏洞。Java 工作负载面临特定风险，公告称，目前近半数 Java 服务包含已知可被利用的漏洞，而 Go 及其他语言的漏洞比率相对较低。此次发布的镜像试图通过将安全控制直接嵌入容器生命周期来缓解这些风险，满足日益增长的“左移”安全策略需求。

这些镜像的技术底座是BellSoft 自研的轻量级发行版 Alpaquita Linux，该发行版采用了 BusyBox 与 APK，解决了开发者从标准 Linux 发行版迁移时的常见痛点——他们在与 Alpine Linux 这类仅支持 musl 的极简环境兼容时往往会遇到许多摩擦。

为了实现加固目的，镜像移除了包管理器和非必要组件，将其最小化，锁定了配置。这种不可变性旨在防止攻击者植入恶意软件或篡改运行时环境。该方案还提供了详细的软件物料清单（SBOM），以协助审计和满足合规性需求。

BellSoft 表示，在迁移至 Liberica JDK Lite（已包含在这些镜像中）时，组织可观察到效率有了显著的提升。新闻稿指出，内部基准测试显示 RAM 和磁盘空间使用减少了 30%。BellSoft 使用内部开发的补丁，而非仅依赖上游的发布，相比标准社区维护的镜像，可为关键 CVE 提供更快的修复速度。

在随附的新闻稿中，BellSoft 首席技术官 Aleksei Voitylov 表示：“加固镜像是 BellSoft 对市场安全、高性能容器解决方案日益增长需求的回应，也是兑现了我们交付最完整、可靠 Java 体验的承诺。我们的加固镜像把 Java 运行时优化、主动 CVE 修复以及轻量灵活的基础结合在一起，为组织提供了一个安全、可审计的平台，可减少漏洞、提升性能并简化迁移过程。”

随着供应链安全成为企业优先考虑的事项，加固容器镜像市场有了显著的增长。BellSoft 的解决方案进入了一个由成熟厂商占据的竞争格局：Chainguard 提供了类似的基于 Wolfi OS 的低 CVE 镜像套件，重点聚焦软件供应链完整性，Docker 也提供了加固镜像，而谷歌的“Distroless”镜像则开创了移除 shell 和包管理器的理念。

然而，Distroless 镜像常因去掉了 shell 而导致调试困难。BellSoft 将其方案定位为 Java 团队更灵活的替代选择，凭借顶级 OpenJDK 贡献者的功底，同步优化运行时与操作系统，在 Distroless 的极俭和标准镜像的易用性之间给出折中选择。

BellSoft 加固镜像现已提供三个版本。免费社区版可在 Docker Hub 上获得，为加固的 Liberica 运行时容器；标准版与高级版可支持更多的语言，包括 GraalVM、Go 与 Python，并附带关键 CVE 修复的 SLA 与技术支持。

查看英文原文：

https://www.infoq.com/news/2025/12/bellsoft-hardened-images/