Segui ZDNET: Aggiungici come fonte preferita su Google.
I principali punti salienti di ZDNET
- Chainguard si rivolge a programmi open-core, azioni GitHub e competenze degli agenti.
- L’approccio inizia con la sua nuova Chainguard Manufacturing unit 2.0 basata sull’intelligenza artificiale.
- L’azienda sta lanciando nuovi servizi di programmazione incentrati sulla sicurezza.
Dal palco del Paracatena assemblato 2026 evento a Manhattan, società di programmazione di sicurezza Paracatena Il cofondatore e amministratore delegato Dan Lorenc ha fermato un membro del pubblico per segare un pezzo di legno con una sega a mano vecchio stile. Non è andata bene, ma alla wonderful il legno è stato tagliato. Poi Lorenc ha tirato fuori una piccola sega elettrica e ha tagliato lo stesso pezzo in pochi secondi. Poi ha detto: “È difficile commettere errori con gli strumenti manuali perché si va più lentamente, mentre [AI] gli utensili elettrici sono molto più divertenti, ma sono anche molto più pericolosi. Perdiamo molte più dita.”
In breve, dobbiamo imparare a utilizzare gli utensili elettrici in modo sicuro – ed è ciò che Chainguard sta tentando di fare. Lorenc ha descritto il momento come una transizione del settore dalla “lavorazione manuale del legno” agli utensili elettrici e poi alle catene di montaggio completamente automatizzate, con agenti di intelligenza artificiale che guidano gran parte del cambiamento. “Nei prossimi 12 mesi, la maggior parte del codice sarà scritta da qualcosa di diverso e di nuovo”, ha detto Lorenc. L’unico modo per tenere il passo con gli aggressori accelerati dall’intelligenza artificiale è automatizzare il tradizionale ciclo di patch di 30/60/90 giorni e iniziare da sistemi sicuri fin dalla progettazione.
Per raggiungere questo obiettivo, Chainguard ha spostato la sua metodologia per la creazione automatica di immagini di sistemi operativi e applicazioni da fragile a Fabbrica di paracatena 2.0. Manufacturing unit 2, ha suggerito la società, ha già rimosso più di 1,5 milioni di vulnerabilità dagli ambienti di produzione dei clienti, rispetto alle 270.000 di un anno fa, ricostruendo e aggiornando continuamente le sue immagini e pacchetti dall’origine.
Inoltre: perché l’intelligenza artificiale è sia una maledizione che una benedizione per il software program open supply, secondo gli sviluppatori
Chainguard Manufacturing unit 2.0 è una pipeline di riconciliazione basata sull’intelligenza artificiale che spinge il catalogo dell’azienda verso uno stato desiderato, sia che ciò significhi zero vulnerabilità ed esposizioni comuni (CVE) notice, il superamento di una particolare suite di QA o il rispetto di vincoli di prestazioni o dimensioni.
Per raggiungere questo stato, Dustin Kirkland, vicepresidente senior dell’ingegneria di Chainguard, ha spiegato in un’intervista con ZDNET: “Abbiamo investito presto e spesso con più modelli di intelligenza artificiale diversi, OpenAI, Claude e Gemini”. I primi agenti riuscivano solo nel “50-60%” delle volte, ha osservato, ma gli errori sono diventati dati di addestramento: “Potremmo prendere lo scarico – le cose che non funzionavano – andare a sistemarlo, e poi reinserirlo nel modello. E le cose sono migliorate.”
Il punto di svolta, ha affermato Kirkland, è stata la struttura degli agenti Driftless dell’azienda, che “è davvero a piombo[ed] il modello di riconciliazione direttamente nella fabbrica stessa.” Ha continuato: “Qui otteniamo la modalità di auto-riparazione… decidiamo quale vogliamo che sia lo stato finale… e poi il riconciliatore sostanzialmente funzionerà in loop risolvendo i problemi finché non soddisferà quei criteri.”
Inoltre: l’intelligenza artificiale sta diventando spaventosamente brava nel trovare bug software program nascosti, anche in codici vecchi di decenni
Questa modalità è molto migliore di quella che Lorenc ha descritto come fragile, guidata dagli eventi Integrazione continua (CI) pipeline tenuta insieme da “nastro adesivo e filo metallico” in un modello di riconciliazione in stile Kubernetes in cui gli agenti spingono continuamente la realtà verso una descrizione dell’obiettivo. Grazie agli agenti che monitorano i rilasci upstream, Chainguard può monitorare più del doppio dei pacchetti rispetto a prima, proteggendoli e producendoli in molto meno tempo.
Per gli sviluppatori che desiderano produrre programmi sicuri e utili, questo nuovo approccio significa che Chainguard offre più di una mezza dozzina di servizi nuovi e migliorati.
Abbracciare il self-service
Alla base di questa pila c’è Sistema operativo Chainguard. Chainguard ha affermato che questa distribuzione Linux è “completamente avviata dal sorgente” e non un derivato di Debian, Fedora o altre distribuzioni Linux fondamentali tradizionali che sono in ritardo rispetto alle ultime versioni di patch. Utilizzando Chainguard OS, le aziende possono ora creare le proprie distribuzioni Linux personalizzate prive di bug, ha affermato Kirkland: “I clienti possono creare qualsiasi immagine desiderino da quei pacchetti… in qualsiasi combinazione desiderino”.
Ha inquadrato il cambiamento come parte di una spinta più ampia verso il self-service degli sviluppatori: “Gli sviluppatori possono ottenere il software program di cui hanno bisogno alla velocità con cui ne hanno bisogno, ovvero ora”.
Inoltre: il nuovo pc di Perplexity è una versione più sicura di OpenClaw? Come funziona
Il catalogo di container di Chainguard rimane il suo prodotto di punta e il vicepresidente senior del prodotto Patrick Donahue ha sottolineato che l’azienda sta ora realizzando più di 2.200 progetti upstream in immagini di container e mantenendo oltre 30.000 pacchetti di sistemi operativi. Donahue ha detto che questo importo è “un ordine di grandezza più grande di chiunque altro”.
Per rendere i suoi prodotti più accessibili, Chainguard ha introdotto un servizio gratuito Inizio del catalogo ChainGuard livello. Questo livello offre agli utenti la possibilità di scegliere tra cinque immagini gratuite. Il livello è per gli sviluppatori che vogliono “provare” e ampliare in seguito. Kirkland ha definito questo approccio “che si appoggia al self-service degli sviluppatori”, offrendo agli ingegneri “l’accesso a cinque immagini gratuitamente” in modo che possano lavorare senza parlare con le vendite.
Da un punto di vista più strategico, l’azienda sta andando oltre le immagini open supply per dedicarsi a ciò che chiama Costruzioni commerciali di paracatena. Si tratta di immagini sicure, realizzate da Chainguard, per software program commerciali e open-core, come GitLab Enterprise, Elastic o NGINX. Kirkland ha spiegato: “Abbiamo avuto sempre più clienti che si rivolgono a noi con modelli supply condivisi o modelli open-source commerciali… ‘Come possiamo utilizzare Chainguard nelle nostre construct proprietarie?’ E la risposta è inequivocabilmente sì.”
In questi accordi, Kirkland ha affermato che Chainguard fornisce “il compilatore sicuro, i runtime del linguaggio e tutte quelle librerie necessarie per costruire quell’immagine”, offrendo ai fornitori una base rafforzata e senza CVE-SLA consentendo loro di mantenere chiuso il loro IP proprietario. Ha previsto che questo approccio “rivoluzionerà gran parte del software program distribuito, costruito su Debian, Fedora o Alpine, offrendo un’alternativa sicura, protetta, rafforzata e con zero CVE”.
Dal punto di vista linguistico, Chainguard protegge repository upstream come PyPI, Maven Central e npm, dove Donahue ha affermato che sono stati osservati più di 450.000 nuovi pacchetti dannosi nei principali registri nel 2025. Si tratta di quasi uno al minuto, se conti.
Anche: 7 tecniche di codifica AI che utilizzo per spedire prodotti reali e affidabili, velocemente
L’azienda ora dichiara una copertura di circa il 96% delle dipendenze Python, oltre un milione di versioni di artefatti Java e quasi il 90% delle prime 500 dipendenze npm per quantity di obtain, con l’automazione di fabbrica puntata su Java e JavaScript dopo Python. Dato che molti popolari repository open supply sono stati avvelenati da codice dannoso, è giunto il momento che qualcuno fornisca programmi puliti e sicuri.
Per facilitare il consumo, Chainguard ha lanciato il Archivio Chainguardil proprio archivio di artefatti che fronteggia quelle biblioteche curate. Invece di configurare ogni sviluppatore per ricorrere direttamente ai registri upstream, i clienti possono indirizzare gli agenti di codifica CI e AI al Chainguard Repository e applicare coverage come elenchi di licenze consentite o un “periodo di raffreddamento” che blocca le librerie nuove di zecca per un numero configurabile di giorni, dando tempo al malware di essere rilevato.
Per i clienti con un utilizzo intenso o larghezza di banda limitata, Kirkland ha sottolineato che Chainguard “continuerà a lavorare con Artifactory, Cloudsmith e altri e a pubblicare in tali registri di artefatti” e che questi repository possono essere sottoposti a mirroring internamente per evitare di martellare i servizi pubblici. Questa capacità riduce anche il carico mirror open source in difficoltà che “letteralmente non può permettersi le quote di larghezza di banda”.
Sicurezza e competenze
Riconoscendo che i sistemi CI sono ora tra le parti più sensibili della catena di fornitura del software program, Chainguard ha presentato due nuove famiglie di prodotti: Azioni del paracatena E Abilità dell’agente Chainguard.
Lorenc ha preso di mira direttamente il modello di sicurezza di GitHub Actions, sottolineando quanto sia difficile anche per i crew più diligenti verificare che un’azione del market sia affidabile o con un ambito corretto. Ha citato esempi in cui le azioni hanno estratto script remoti o file binari in fase di runtime o contenevano rischi di shell-injection che potevano far fuoriuscire token in pipeline complesse, modelli che ricordano attacchi del mondo reale come le campagne HackerBot/Flaw ospitate da GitHub.
Le azioni Chainguard sono “protette per impostazione predefinita, sostituzioni rapid delle azioni GitHub upstream”, create e continuamente rafforzate in fabbrica, con take a look at generati automaticamente per garantire che le correzioni di sicurezza non interrompano il comportamento. Per adottarli, ha affermato Lorenc, i clienti possono “sostituire [the upstream org] with chainguard‑dev” nei loro flussi di lavoro e quindi utilizzare un’unica impostazione GitHub per limitare l’utilizzo al set curato di Chainguard.
Inoltre: ho completato 4 anni di sviluppo del prodotto in 4 giorni per $ 200 e sono ancora sbalordito
Kirkland ha suggerito che problemi simili stanno emergendo nel mondo in rapida evoluzione delle competenze degli agenti di intelligenza artificiale. Questi pacchetti di ribasso codificano strumenti e finest observe per gli agenti AI. Kirkland ama le abilità dell’agente. Nel momento in cui l’intelligenza artificiale è diventata parte del suo “flusso di lavoro quotidiano” è stato quando ha potuto chiedere a Claude “di incapsulare questo insieme di migliori pratiche… cose che voglio che i miei crew, i miei sviluppatori, i miei supervisor e i nostri ingegneri facciano. Incapsularle come un’abilità, quindi inserire quell’abilità nell’agente e dire che questo è il modo giusto di fare le cose”. Questo è il lato positivo degli agenti. Il lato negativo è che troppo spesso le competenze degli agenti IA, come quelle condivise in Moltbook, sono piene di funzionalità dannose.
Per combattere questo problema, Kirkland ha spiegato che Chainguard ha incapsulato “un paio di centinaia” di queste competenze e ora sta mettendo a disposizione dei clienti un sottoinsieme curato e rafforzato come Chainguard Agent Abilities, in modo che i crew possano collegare le funzionalità direttamente ai processi di creazione e revisione del software program senza preoccuparsi che una competenza compromessa possa introdurre vulnerabilità o esfiltrare dati: “Questo è ciò da cui stiamo isolando i nostri clienti”.
Forse l’annuncio più ambizioso è stato Chainguard Gardener. Questa app GitHub porta pezzi della fabbrica di Chainguard nei repository dei clienti. Una volta installato, Gardener esegue la scansione dei repository selezionati per Dockerfile, dipendenze delle librerie, competenze AI e altri artefatti che potrebbero essere sostituiti con equivalenti protetti da Chainguard, quindi apre automaticamente richieste pull per la migrazione, aggiornare i take a look at e mantenere aggiornate le dipendenze.
Inoltre: 10 segreti del Codex ChatGPT che ho imparato solo dopo 60 ore di programmazione in coppia con esso
“Il Giardiniere può costantemente esaminare tutti i repository a cui decidi di collegarlo”, ha spiegato Kirkland. “Può identificare gli artefatti che potrebbero essere protetti utilizzando gli artefatti Chainguard. Quindi può esaminare i Dockerfile e trovare immagini che potrebbero essere Chainguard. Esaminerà le librerie utilizzate dalle applicazioni che potrebbero essere Chainguard… [and] le competenze e gli agenti che potrebbero essere Chainguard.” L’concept, ha detto, è quella di offrire ai clienti “un volano davvero bello”, le migliori pratiche di Chainguard, continuamente applicate all’interno del ciclo di vita dello sviluppo del software program.
Guardando al futuro, sia Lorenc che Kirkland hanno affermato di vedere il ruolo stesso dello sviluppatore cambiare rapidamente. “Il futuro dello sviluppo software program sta… cambiando proprio davanti ai nostri occhi”, ha affermato Kirkland, sostenendo che i nuovi prodotti insieme offrono “tutto ciò di cui un’azienda o uno sviluppatore ha bisogno per cavalcare quell’onda e spingere le cose oltre, più velocemente, più sicure”. Lorenc è stato ancora più schietto: “Questo è stato il momento migliore nella storia per scrivere software program, ma è anche il momento peggiore… Il collo di bottiglia non è più il codice. È stabilire la fiducia.” Non ha torto.
