Blog
Denis Maligin ontmaskert de kwetsbaarheden in jouw containers
Containeradoptie is geëxplodeerd in vrijwel elke omgeving: van gigantische datacenterplatformen tot resource-arme edge-implementaties. Elk belooft snellere deployments, betere schaalbaarheid en vereenvoudigde operaties. Maar onder deze gecontaineriseerde utopie schuilt een gedeelde nachtmerrie: kwetsbaarheidschaos die zich uitstrekt over elk Kubernetescluster, elke edge-node en elk container-registry.
Op Edgecase 2025, had Denis Maligin, Sr. Sales Engineer bij Chainguard, het niet alleen over dit probleem, hij ontleedde het zelfs live op het podium. Om in lijn te blijven met het onderwerp van de Multiverse Saga, ziet Denis twee parallelle universa: datacenter en edge. Ze hebben andere eisen, maar vergelijkbare uitdagingen.
Naarmate Kubernetes zich ontwikkelde, zijn er meerdere "tijdlijnen" ontstaan: het oorspronkelijke pad van grootschalige platform engineering, en een aftakkend pad waarin Kubernetes beperkte edge-omgevingen aandrijft. Elk universum heeft zijn eigen uitdagingen, maar één probleem overstijgt ze allemaal: kwetsbaarheidschaos in container supply chains.
Zwakste schakel in moderne infrastructuur
De aanvallers van vandaag hoeven je code niet te kraken: ze maken misbruik van de componenten waarop je vertrouwt. Legacy base images, uitdijende CVE-lijsten en onvolledige SBOM's hebben de software supply chain tot de zwakste schakel in moderne infrastructuur gemaakt.
In zijn talk nam Denis een technische duik in moderne benaderingen om supply chain security opnieuw te definiëren. Hij leerde ons hoe minimale, continu bijgewerkte, ondertekende images met complete SBOM's hele klassen van kwetsbaarheden kunnen elimineren voordat ze ooit in productie komen. Daar kwamen nog wat steengoede memes bij, de meeste gemaakt door Denis zelf.
Waar Denis het over had
- De risico's verborgen in traditionele "geharde" images
- Waarom SBOM-compleetheid en herkomst belangrijk zijn voor compliance en beveiliging
- Continue patching en digest pinning om de operationele last te verminderen
Security bij de bron
Denis: "Het is meestal behoorlijk lastig om te infiltreren en de broncode van open source-projecten te veranderen. Bijna onmogelijk, zou ik zeggen. Maar knoeien met de supply chain, met het buildproces, zoals we elke week zien, is heel goed mogelijk. Wat is de oplossing daarvoor? Hoe zou ik mezelf hiertegen kunnen beschermen? Security bij de bron is de veilige bron voor open source."
Live demo's: Grype > Trivy
Het beste deel van de talk was een live demo, of eigenlijk vier demo's, waarin Denis algemene publieke images vergeleek met geharde alternatieven. Hij liet zien hoe teams CVE-ruis kunnen elimineren, pull-performance kunnen verbeteren en supply chains kunnen bouwen die echt verifieerbaar zijn. Het scannen van een legacy image versus een minimale, continu bijgewerkte image kan hard aankomen, en de uitkomst was inderdaad confronterend.
Zowel Trivy als Grype zijn geweldige open source-tools voor het scannen van container-images en andere software-artefacten op kwetsbaarheden en misconfiguraties. Maar tijdens een live demo liet Denis ons zien waarom Chainguard de voorkeur geeft aan Grype boven Trivy. De belangrijkste reden is dat Trivy geen resultaten weergeeft voor Alpine bij het scannen op kwetsbaarheden.
In een andere demo liet hij het publiek zien hoe makkelijk het is om de metadata te manipuleren en de scantools te misleiden. Met andere woorden: deze tools geven een vals gevoel van veiligheid. Om te laten zien dat dit wél kan worden gedetecteerd wanneer je de juiste tool gebruikt, introduceerde Denis Sigstore. Deze tool maakt vertrouwen cryptografisch verifieerbaar.
Bewezen strategieën brengen orde in deze chaos
En zo leerden we hoe mutable tags, opgeblazen base images en metadata-gedreven scanners onvoorspelbare risico's creëren in verschillende omgevingen. Waarom traditionele patch-cycli leiden tot aanhoudende CVE-schuld, en hoe deze uitdagingen verschillend uitpakken in datacenters versus edge-implementaties.
Het belangrijkste was dat Denis ons bewezen strategieën gaf om orde te brengen in deze chaos: reproduceerbare builds, digest-gebaseerde deployments, minimale images met kleinere aanvalsoppervlakken, en het gebruik van SBOM's en ondertekende herkomst voor compliance.
Aan het eind moedigde Denis iedereen aan om naar https://images.chainguard.dev te gaan en hun gratis ZeroCVE-images te downloaden voor gebruik in projecten. Want declarable en reproduceerbare builds zijn de basis van vertrouwen.
