„Amazon“ kompanija
Platinimas suteikia Linux branduolį ir minimalią sistemos aplinką, įskaitant tik komponentus, reikalingus konteineriams paleisti. Tarp projekte dalyvaujančių paketų yra sistemos tvarkyklė systemd, Glibc biblioteka ir surinkimo įrankiai
Buildroot, GRUB įkrovos programa, tinklo konfigūratorius
Paskirstymas atnaujinamas atomiškai ir pateikiamas kaip nedalomas sistemos vaizdas. Sistemai skiriami du disko skaidiniai, viename iš jų yra aktyvi sistema, o naujinimas nukopijuojamas į antrąjį. Įdiegus naujinimą, antrasis skaidinys tampa aktyvus, o pirmajame, kol ateina kitas naujinimas, išsaugoma ankstesnė sistemos versija, kurią, iškilus problemoms, galite grąžinti atgal. Atnaujinimai įdiegiami automatiškai be administratoriaus įsikišimo.
Pagrindinis skirtumas nuo panašių platinimų, tokių kaip Fedora CoreOS, CentOS/Red Hat Atomic Host, yra pagrindinis dėmesys
Šakninis skaidinys yra prijungtas tik skaityti, o /etc nustatymų skaidinys yra įtrauktas į tmpfs ir atkuriamas į pradinę būseną po paleidimo iš naujo. Tiesioginis failų keitimas /etc kataloge, pvz., /etc/resolv.conf ir /etc/containerd/config.toml, nepalaikomas – norėdami visam laikui išsaugoti nustatymus, turite naudoti API arba perkelti funkcionalumą į atskirus konteinerius.
Dauguma sistemos komponentų yra parašyti „Rust“ kalba, kuri suteikia atmintį saugančias funkcijas, kad būtų išvengta pažeidžiamumų, atsirandančių dėl laisvos atminties prieigos, nulinių rodyklės nuorodų ir buferio viršijimo. Kuriant pagal numatytuosius nustatymus, kompiliavimo režimai „--enable-default-pie“ ir „--enable-default-ssp“ naudojami, kad būtų galima atsitiktinai pasirinkti vykdomųjų failų adresų erdvę (
Paketams, parašytiems C/C++, pridedamos papildomos vėliavėlės
„-Siena“, „-Werror=format-security“, „-Wp,-D_FORTIFY_SOURCE=2“, „-Wp,-D_GLIBCXX_ASSERTIONS“ ir „-fstack-clash-protection“.
Konteinerių orkestravimo įrankiai tiekiami atskirai
Šaltinis: opennet.ru