Кампанія Amazon
Дыстрыбутыў падае ядро Linux і мінімальнае сістэмнае асяроддзе, улучальныя толькі кампаненты, неабходныя для запуску кантэйнераў. Сярод задзейнічаных у праекце пакетаў адзначаюцца сістэмны мэнэджар systemd, бібліятэка Glibc, зборачны інструментар
Buildroot, загрузнік GRUB, канфігуратар сеткі
Дыстрыбутыў абнаўляецца атамарна і пастаўляецца ў форме непадзельнай сістэмнай выявы. Пад сістэму вылучаецца дзве дыскавыя часткі, адзін з якіх утрымоўвае актыўную сістэму, а на другі капіюецца абнаўленне. Пасля разгортвання абнаўлення актыўным становіцца другі падзел, а ў першым да паступлення наступнага абнаўлення захоўваецца мінулая версія сістэмы, на якую ў выпадку ўзнікнення праблем можна адкаціцца. Абнаўленні ўстанаўліваюцца аўтаматычна без удзелу адміністратара.
Ключавым адрозненнем ад падобных дыстрыбутываў, такіх як Fedora CoreOS, CentOS / Red Hat Atomic Host з'яўляецца першасная арыентацыя на забеспячэнне
Каранёвая частка мантуецца ў рэжыме толькі для чытання, а частка з наладамі /etc мантуецца ў tmpfs і аднаўляе зыходны стан пасля перазапуску. Прамая змена файлаў у каталогу /etc, такіх як /etc/resolv.conf і /etc/containerd/config.toml, не падтрымліваецца - для сталага захавання налад варта выкарыстоўваць API або выносіць функцыянальнасць у асобныя кантэйнеры.
Большасць сістэмных кампанентаў напісаны на мове Rust, які прадстаўляе сродкі для бяспечнай працы з памяццю, якія дазваляюць пазбегнуць уразлівасцяў, выкліканых зваротам да вобласці памяці пасля яе вызвалення, разнайменаваннем нулявых паказальнікаў і выхадам за межы буфера. Пры зборцы па змаўчанні ўжываюцца рэжымы кампіляцыі «enable-default-pie» і enable-default-ssp для ўключэння рандомизации адраснай прасторы выкананых файлаў (
Для пакетаў, напісаных на мове C/C++, дадаткова ўключаюцца сцягі
"-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" і "-fstack-clash-protection".
Інструменты для аркестроўкі кантэйнераў пастаўляюцца ў асобным
Крыніца: opennet.ru