Amazon Web Services Inc.今天宣布了Bottlerocket的全面上市，Bottlerocket是它专为运行软件容器而开发的开源Linux发行版。

流行的Linux发行版不仅设计为运行容器，使应用程序可以在多个计算环境中运行，而且还可以运行一系列其他工作负载。 因为它们支持大量用例，所以它们具有大量难以管理的组件。

在开发Bottlerocket时，AWS遗漏了许多标准Linux组件，只保留了运行基于容器的工作负载所需的组件，从而创建了一个易于管理且更安全的操作系统。 额外的安全性源于这样一个事实，即Bottlerocket较小的代码库为黑客提供了更少的潜在弱点。

此外，AWS采取了许多其他防护措施来帮助阻止威胁。 这位云巨头的工程师用Rust语言编写了Bottlerocket的大部分内容，与主要编写Linux内核的C语言相比，它不容易发生缓冲区溢出漏洞。

AWS还对Bottlerocket进行了防御，以抵抗所谓的持续威胁。持久性威胁(也称为持久性恶意软件)是一种恶意程序，可以获取对操作系统关键组件的访问权并利用这些组件隐藏其踪迹。

Bottlerocket通过使用称为dm-verity的Linux内核功能来减轻此类攻击的风险。该功能检测未经许可可能已更改的操作系统部分，这是发现隐藏的持久性恶意软件的可靠方法。

AWS产品经理Samartha Chandrashekar在博客文章中阐述道：“ Bottlerocket还通过​​阻止与生产服务器的管理连接来强制实施一种操作模型，从而进一步提高安全性。” 管理员帐户通常可以广泛访问云实例，这使其成为黑客的目标。“登录到单个Bottlerocket实例的行为旨在不进行高级调试和故障排除。”

Bottlerocket旨在简化容器运行的另一种方法是简化操作系统更新。在部署运行关键任务应用程序的容器环境中部署操作系统更改存在风险，因为部署问题会导致停机。考虑到这一点，AWS在Bottlerocket中内置了一项称为原子更新的功能，该功能表示管理员可以在导致错误的情况下安全地撤消操作系统更改。

“可以以原子方式应用和回滚Bottlerocket的更新，这使它们易于自动化，减少了管理开销并降低了运营成本，” Chandrashekar说道。

Bottlerocket在GitHub上可用。