個人での使用ならーーイエス
企業での使用ならーーお奨めしません
Dockerが話題になっているせいで、Dockerが標準に選んだLinuxディストリビューションであるAlpine Linuxが脚光を浴びることになりました。Dockerを使用している、または使用を検討している企業や技術者にとってはAlpine Linuxも身近にんっていることでしょう。
このAlpine Linuxは単にイメージサイズが小さいだけでなく様々なセキュリティー機能が盛り込まれていることでも知られています
- カーネルにGrSecurityパッチが適用されている
- SSLライブラリーにOpenSSLではなくLibreSSLが採用されている
- 様々な軽量ライブラリーを採用している
まず1点目はASLRやNX-bitに関するパッチで、標準のカーネルよりも強化されています。2点目はHeartbleed脆弱性で露見したOpenSSLのレガシーコードを大幅に見直したLibreSSLの採用です。3点目は直接セキュリティーとは関係ありませんが、glibcの代わりにmusl・Systemdの代わりにOpenRCを使用するなどしており、少ないコードは多いコードよりもバグを生じ難いことから好ましいといえます。これらが「個人使用ではセキュアである」とする理由です。
問題は企業での使用を想定する場合です。Alpine Linuxがセキュアだと主張する人で、Alpine LinuxとSLAを締結した人はいるのでしょうか?もし脆弱性が発見された場合には何時パッチが提供されるのでしょうか?パッチやパッケージのメンテナーの素性は問題ないのでしょうか?市販のセキュリティーツール類(例:McAfeeなどから出ているHIPSなど)は使用可能でしょうか?提供元の組織に資金が潤沢にあり「ある日突然潰れてしまった」などということは無いでしょうか?
私が知る限り、上記の問題はいずれもネガティブだと思います。加えて、セキュリティー機能だというGrSecurityのパッチは昨年よりクローズドソース(GPL違反の疑いあり)となっており、私の知る限りではAlpine以外の一般的なLinuxディストリビューションでは既にメンテナンスされていません(以前は標準でサポートしていたArch LinuxおよびGentooもサポートを停止している)。
※コメント投稿者のブログIDはブログ作成者のみに通知されます