Sekite ZDNET: Pridėkite mus kaip pageidaujamą šaltinį Google.
Pagrindiniai ZDNET pasiūlymai
- „Chainguard“ taikosi į atviras programas, „GitHub“ veiksmus ir agento įgūdžius.
- Šis metodas prasideda nuo naujos AI varomos Chainguard Factory 2.0.
- Bendrovė pradeda teikti naujas programuotojo paslaugas, pirmiausia saugaus.
Nuo „Chainguard Assemble 2026“ renginio Manhetene scenos programavimo saugos įmonės „Chainguard“ įkūrėjas ir generalinis direktorius Danas Lorencas pritraukė žiūrovą, kad pažiūrėtų medžio gabalą senamadišku rankiniu pjūklu. Neblogai sekėsi, bet galiausiai mediena buvo nupjauta. Tada Lorencas ištraukė nedidelį elektrinį pjūklą ir per kelias sekundes nupjovė tą patį gabalą. Tada jis pasakė: “Sunku suklysti naudojant rankinius įrankius, nes važiuojate lėčiau, o (AI) elektriniai įrankiai yra daug smagiau, tačiau jie taip pat yra daug pavojingesni. Mes prarandame daug daugiau pirštų.”
Trumpai tariant, turime išmokti saugiai naudoti elektrinius įrankius – būtent tai ir siekia Chainguard. Lorenc įvardijo momentą kaip pramonės perėjimą nuo „rankinio medžio apdirbimo“ prie elektrinių įrankių, o vėliau prie visiškai automatizuotų surinkimo linijų, o dirbtinio intelekto agentai skatina didžiąją dalį pokyčių. „Per ateinančius 12 mėnesių didžioji dalis kodo bus parašyta kažkuo kitokiu ir nauju“, – sakė Lorencas. Vienintelis būdas neatsilikti nuo dirbtinio intelekto pagreitintų užpuolikų yra automatizuoti tradicinį 30/60/90 dienų pataisų ciklą ir pradėti nuo sistemų, kurios yra saugios pagal projektą.
Siekdama šio tikslo, „Chainguard“ perkėlė automatinio operacinės sistemos ir programų vaizdų kūrimo metodiką iš trapios į „Chainguard Factory 2.0“. Bendrovė pasiūlė, kad 2 gamykla jau pašalino daugiau nei 1,5 milijono pažeidžiamumų iš klientų gamybos aplinkos, o prieš metus jų buvo 270 000, nuolat perkurdama ir pataisydama savo vaizdus ir paketus iš šaltinio.
Taip pat: kodėl AI yra ir prakeiksmas, ir palaima atvirojo kodo programinei įrangai – teigia kūrėjai
„Chainguard Factory 2.0“ yra suderinamas, dirbtinio intelekto valdomas vamzdynas, stumiantis įmonės katalogą į norimą būseną, nesvarbu, ar tai reiškia, kad nėra žinomų bendrų pažeidžiamumų ir poveikio (CVE), praeina tam tikras kokybės užtikrinimo rinkinys, ar atitinka našumo ar dydžio apribojimus.
Norėdami pasiekti šią būseną, Dustinas Kirklandas, Chainguard inžinerijos vadovas, interviu su ZDNET paaiškino: „Mes anksti ir dažnai investavome į kelis skirtingus AI modelius, OpenAI, Claude ir Gemini. Ankstyviesiems agentams sekėsi tik „50–60%“ laiko, pažymėjo jis, bet nesėkmės tapo mokymo duomenimis: „Galėjome paimti išmetimo vamzdį – tuos dalykus, kurie neveikė – eiti ir tai sutvarkyti, o tada grąžinti tai modeliui. Ir viskas tik pagerėjo.
Kirklandas sakė, kad lūžio taškas buvo bendrovės „Driftless“ agentų sistema, kuri „iš tikrųjų nukreipė suderinimo modelį tiesiai į pačią gamyklą“. Jis tęsė: „Čia gauname savęs išgydymo režimą… mes nusprendžiame, kokios norime galutinės būsenos… ir tada suderintuvas iš esmės tiesiog bėgs kilpoje spręsdamas problemas, kol atitiks tuos kriterijus.
Taip pat: dirbtinis intelektas darosi baisu ieškant paslėptų programinės įrangos klaidų – net dešimtmečių senumo kode
Šis režimas yra daug geresnis už tai, ką Lorenc apibūdino kaip trapų, įvykių skatinamą nuolatinės integracijos (CI) dujotiekį, sujungiamą „lipniąja juosta ir presavimo viela“ iki Kubernetes stiliaus suderinimo modelio, kuriame agentai nuolat stumia realybę link tikslo aprašymo. Dėl agentų, sekančių ankstesnius leidimus, „Chainguard“ gali stebėti daugiau nei dvigubai daugiau paketų nei anksčiau, apsaugodama ir pagamindama juos per daug trumpesnį laiką.
Kūrėjams, norintiems kurti saugias, naudingas programas, toks naujas požiūris reiškia, kad „Chainguard“ siūlo daugiau nei pusšimtį naujų ir patobulintų paslaugų.
Priimdamas savitarną
Šio krūvos apačioje yra Chainguard OS. „Chainguard“ teigė, kad šis „Linux“ platinimas yra „visiškai paleidžiamas iš šaltinio“, o ne „Debian“, „Fedora“ ar kitų pagrindinių pagrindinių „Linux“ platinimų, kurie atsilieka nuo naujausių pataisų leidimų, išvestinė medžiaga. Naudodamos „Chainguard OS“, įmonės dabar gali kurti savo pasirinktinius „Linux“ paskirstymus be klaidų, sakė Kirkland: „Klientai gali sukurti bet kokį vaizdą iš tų paketų… bet kokiu norimu deriniu“.
Jis suformulavo šį pokytį kaip dalį platesnio postūmio kūrėjų savitarnos link: „Kūrėjai gali gauti reikalingą programinę įrangą tokiu greičiu, kokio jiems reikia – tai yra dabar“.
Taip pat: Ar naujasis „Perplexity“ kompiuteris yra saugesnė „OpenClaw“ versija? Kaip tai veikia
„Chainguard“ konteinerių katalogas išlieka pavyzdiniu produktu, o produktų vyriausiasis viceprezidentas Patrickas Donahue pabrėžė, kad bendrovė dabar kuria daugiau nei 2 200 ankstesnių projektų į konteinerių vaizdus ir prižiūri daugiau nei 30 000 OS paketų. Donahue sakė, kad ši suma yra „didesnė nei bet kas kitas“.
Siekdama, kad produktai būtų prieinamesni, „Chainguard“ pristatė nemokamą „ChainGuard“ katalogo pradžios pakopą. Ši pakopa suteikia vartotojams galimybę pasirinkti iš penkių nemokamų vaizdų. Pakopa skirta kūrėjams, kurie nori „pajusti skonį“ ir vėliau padidinti. Kirklandas pavadino šį metodą „pasilenkimu su kūrėjų savitarna“, suteikiančiu inžinieriams „nemokamą prieigą prie penkių vaizdų“, kad jie galėtų pradėti dirbti nesikalbėdami su pardavimais.
Strategiškai žiūrint, bendrovė perkelia ne tik atvirojo kodo vaizdus, bet ir tai, ką ji vadina „Chainguard Commercial Builds“. Tai yra saugūs, „Chainguard“ sukurti vaizdai, skirti komercinei ir atviro branduolio programinei įrangai, pvz., „GitLab Enterprise“, „Elastic“ ar NGINX. Kirkland paaiškino: „Vis dažniau turime klientų, kurie kreipiasi į mus naudodami bendro šaltinio modelius arba komercinius atvirojo kodo modelius… „Kaip galime naudoti Chainguard savo patentuotose versijose?“ Ir atsakymas vienareikšmiškai yra „taip“.
Šiuose sandoriuose Kirklandas teigė, kad „Chainguard“ suteikia „saugų kompiliatorių ir kalbos vykdymo laiką bei visas tas bibliotekas, kurių reikia tam vaizdui sukurti“, suteikdama pardavėjams tvirtą nulinę CVE-SLA bazę, leisdama išlaikyti uždarytą patentuotą IP. Jis prognozavo, kad šis metodas „sukels revoliuciją daugelyje platinamos programinės įrangos, sukurtos ant Debian, Fedora ar Alpine, siūlant saugią, saugią, sugriežtintą, nulinės CVE alternatyvą“.
Kalbant apie kalbą, „Chainguard“ apsaugo aukštesnio lygio saugyklas, tokias kaip PyPI, Maven Central ir npm, kur Donahue teigimu, 2025 m. pagrindiniuose registruose buvo pastebėta daugiau nei 450 000 naujų kenkėjiškų paketų. Tai yra beveik vienas per minutę, jei skaičiuojate.
Taip pat: 7 dirbtinio intelekto kodavimo būdai, kuriuos naudoju siųsdamas tikrus, patikimus produktus – greitai
Dabar bendrovė teigia, kad aprėpia apie 96 % Python priklausomybių, daugiau nei milijoną Java artefaktų versijų ir beveik 90 % didžiausių 500 npm priklausomybių pagal atsisiuntimo apimtį, o gamyklos automatizavimas nukreiptas į Java ir JavaScript po Python. Atsižvelgiant į tai, kad daugelis populiarių atvirojo kodo saugyklų buvo užnuodytos kenkėjišku kodu, pats laikas kas nors pateikti švarias, saugias programas.
Siekdama palengvinti vartojimą, „Chainguard“ pristatė „Chainguard“ saugyklą – savo artefaktų saugyklą, apimančią tas kuruojamas bibliotekas. Užuot sukonfigūruodami kiekvieną kūrėją, kad jis grįžtų tiesiai į ankstesnius registrus, klientai gali nukreipti CI ir AI kodavimo agentus į „Chainguard“ saugyklą ir taikyti politiką, pvz., licencijų leidimo sąrašus arba „atšalimo laikotarpį“, kuris konfigūruojamam dienų skaičiui blokuoja visiškai naujas bibliotekas, kad būtų galima aptikti kenkėjiškas programas.
Klientams, kurie intensyviai naudoja ar ribotą pralaidumą, Kirklandas pabrėžė, kad „Chainguard“ „toliau bendradarbiaus su „Artifactory“, „Cloudsmith“ ir kitais bei skelbs šiuose artefaktų registruose“, o šios saugyklos gali būti atspindimos įmonės viduje, kad būtų išvengta viešųjų paslaugų trukdymo. Ši galimybė taip pat sumažina sunkumų patiriančių atvirojo kodo veidrodžių, kurie „tiesiogine prasme negali sau leisti pralaidumo kvotų“, apkrovą.
Saugumas ir įgūdžiai
Pripažindama, kad CI sistemos dabar yra viena jautriausių programinės įrangos tiekimo grandinės dalių, „Chainguard“ pristatė dvi naujas produktų šeimas: „Chainguard Actions“ ir „Chainguard Agent Skills“.
„Lorenc“ tiesiogiai nukreipė į „GitHub Actions“ saugos modelį, nurodydamas, kaip sunku net stropioms komandoms patikrinti, ar rinkos veiksmas yra patikimas ar tinkamai aprėptas. Jis paminėjo pavyzdžius, kai veiksmai ištraukė nuotolinius scenarijus ar dvejetainius failus vykdymo metu arba turėjo apvalkalo įpurškimo riziką, dėl kurios sudėtinguose vamzdynuose gali nutekėti žetonai, modeliai, primenantys realaus pasaulio atakas, pvz., GitHub priglobtas HackerBot / Flaw kampanijas.
„Chainguard Actions“ yra „apsaugoti pagal numatytuosius nustatymus, pakeičiami ankstesnių „GitHub Actions“, sukurti ir nuolat tobulinami gamykloje, o testai generuojami automatiškai, siekiant užtikrinti, kad saugos pataisymai nepažeistų elgesio. Lorenc teigė, kad norėdami juos pritaikyti, klientai savo darbo eigoje gali „pakeisti (prieš srauto organizaciją) į „chainguard-dev“ ir tada naudoti vieną „GitHub“ nustatymą, kad apribotų naudojimą tik „Chainguard“ kuruojamu rinkiniu.
Taip pat: per 4 dienas už 200 USD sukūriau 4 metus gaminį ir vis dar esu priblokštas
Kirklandas teigė, kad panašių problemų kyla sparčiai besikeičiančiame AI agentų įgūdžių pasaulyje. Šie sumažinimo paketai užkoduoja AI agentų įrankius ir geriausią praktiką. Kirklandas mėgsta agento įgūdžius. Tuo momentu, kai dirbtinis intelektas tapo jo „kasdienės darbo eigos“ dalimi, jis galėjo paprašyti Claude'o „aprašyti šį geriausios praktikos rinkinį… dalykų, kuriuos noriu, kad mano komandos, kūrėjai, vadovai ir mūsų inžinieriai padarytų. Įtraukite tai kaip įgūdį, tada perteikite tuos įgūdžius agentui ir pasakykite, kad tai yra teisingas būdas daryti dalykus“. Tai yra geroji agentų pusė. Blogai yra tai, kad pernelyg dažnai AI agento įgūdžiai, tokie kaip tie, kurie dalijami Moltbook, yra užpildyti kenkėjiškomis galimybėmis.
Siekdama kovoti su šia problema, Kirkland paaiškino, kad „Chainguard“ įtraukė „porą šimtų“ šių įgūdžių ir dabar klientams suteikia kuruojamą, sustiprintą pogrupį kaip „Chainguard Agent Skills“, kad komandos galėtų tiesiogiai prijungti galimybes prie programinės įrangos kūrimo ir peržiūros procesų, nesijaudindamos, kad pažeisti įgūdžiai gali sukelti pažeidžiamumą arba įsiskverbti į mūsų klientų duomenis.
Bene ambicingiausias pranešimas buvo Chainguard Gardener. Ši „GitHub“ programa perkelia „Chainguard“ gamyklos dalis į klientų saugyklas. Įdiegus „Gardener“ nuskaito pasirinktus „Dockerfiles“, bibliotekos priklausomybių, dirbtinio intelekto įgūdžių ir kitų artefaktų, kuriuos būtų galima pakeisti „Chainguard“ apsaugotais ekvivalentais, saugyklose, tada automatiškai atidaro ištraukimo užklausas, kad būtų galima perkelti, atnaujinti testus ir išlaikyti priklausomybes aktualias.
Taip pat: 10 „ChatGPT Codex“ paslapčių, kurias sužinojau tik po 60 valandų programavimo su juo.
„Sodininkas gali nuolat peržiūrėti bet kurią saugyklą, prie kurios nuspręsite jį prijungti“, – paaiškino Kirklandas. “Jis gali identifikuoti artefaktus, kuriuos būtų galima apsaugoti naudojant Chainguard artefaktus. Taigi jis gali peržiūrėti Dockerfiles ir rasti vaizdus, kurie galėtų būti “Chainguard”. Jis apžvelgs bibliotekas, kurias naudoja programos, kurios galėtų būti “Chainguard”… (ir) įgūdžiai bei agentai, kurie galėtų būti “Chainguard”. Pasak jo, idėja yra suteikti klientams „tikrai gražų smagratį“, „Chainguard“ geriausią praktiką, nuolat taikomą programinės įrangos kūrimo gyvavimo cikle.
Žvelgdami į ateitį, tiek Lorenc, tiek Kirkland teigė, kad pats kūrėjo vaidmuo sparčiai keičiasi. „Programinės įrangos kūrimo ateitis… keičiasi tiesiai prieš mūsų akis“, – sakė Kirklandas, tvirtindamas, kad naujieji produktai kartu siūlo „viską, ko įmonei ar kūrėjui reikia įveikti ta banga, kad viskas būtų toliau, greičiau ir saugiau“. Lorencas buvo dar atviresnis: “Tai buvo geriausias laikas istorijoje rašyti programinę įrangą, bet tai ir pats blogiausias laikas… Kliūtis nebėra kodas. Tai pasitikėjimo kūrimas.” Jis neklysta.
