Um Bug é um Bug, Mas um Patch é uma Política: O Caso dos Bootable Containers

A CNA do kernel Linux agora atribui CVEs a quase toda correção de bug, frequentemente sem pontuações CVSS, e essa decisão desmantelou o modelo clássico de conformidade “aplique patch em qualquer coisa acima de 7.0 em 30 dias”. Equipes de segurança precisam agora escolher entre triagem manual dispendiosa e simplesmente aplicar patches em tudo rapidamente. ️

Bootable containers (bootc) oferecem um caminho intermediário: eles empacotam o sistema operacional completo (kernel, drivers e user-space) como uma imagem de container imutável com atualizações atômicas e rollback automático quando as verificações de saúde falham, o que elimina a ansiedade de reboot que causa fadiga de atualização. A verdadeira mudança é afastar a gestão de vulnerabilidades da triagem de CVSS baseada em planilhas para o scanning com escopo de build-file de imagens mínimas, transformando a aplicação de patches em uma etapa rotineira do pipeline de CI/CD, em vez de um evento manual de alto risco.