itsfoss.com｜Sourav Rudra｜約 3–4 分鐘閱讀

眼見 Linux 的新漏洞似乎每隔幾週就會冒出一個，許多專案不得不採取預防措施來應對日益增長的威脅。

Red Hat 看來是最新加入行動的一員。Fedora 近日宣布推出 Fedora Hummingbird，這是一個全新的滾動更新發行版，將整個作業系統以 OCI 映像檔的形式發布。

它建立在 Project Hummingbird 現有容器目錄背後的「安全優先」建構流水線之上。這個基礎專案是 Red Hat 於 2025 年 11 月針對訂閱用戶推出的搶先體驗計畫。

這個專案的核心理念，是發布一套精簡、硬化、無發行版依賴（distroless）的容器映像檔目錄，並將 CVE（通用漏洞揭露）數量維持在接近零的狀態。一旦上游修補了某個漏洞，建構流水線便會偵測到、重新建構受影響的映像檔，並立即發布。

Fedora Hummingbird 將同樣的邏輯套用到完整的作業系統上，採用基於 Konflux 的建構流水線，超過 95% 的套件來自 Fedora Rawhide。Rawhide 尚未有的套件則直接從上游取得，過程中所做的任何修正也會回饋給 Fedora。

此外，Red Hat 的產品安全團隊為每個套件維護一份漏洞清單，因此你看到的不是籠統的 CVE 列表，而是能更清楚掌握哪些漏洞真正影響到你的環境。

驅動它的核心是來自 CKI 專案的 Always Ready Kernel（ARK），該核心緊跟 Linux 主線，且已搭載於 Fedora 中。此外，所有更新均為原子式更新並支援回滾，根檔案系統為唯讀，可寫入的狀態則保存於 /var 和 /etc。

它與 Fedora Atomic 有何不同？

如果你已經在使用 Silverblue、Kinoite 或其他 Fedora Atomic 桌面，「不可變作業系統」這個名詞對你來說可能不陌生。但 Hummingbird 和它們並不是同一回事。

Fedora 現有的 Atomic 桌面是基於 rpm-ostree 的桌面版本，從標準 Fedora 套件集建構而來，依循 Fedora 每六個月一次的常規發布週期，目標對象是希望擁有穩定、不可變桌面體驗的一般使用者。

Fedora Hummingbird 則不附帶任何桌面環境，是直接追蹤 Fedora Rawhide 的滾動更新版本，透過其自有的專屬流水線建構，每個套件均有獨立的 CVE 追蹤與生命週期管理。

它的目標對象是開發者與雲端原生工作負載，而非桌面市場。

下載 Fedora Hummingbird

⚠️ 此映像檔目前為實驗性質，不適合用於正式生產環境。

映像檔提供 x86_64 與 aarch64 平台下載，無需訂閱或註冊。專案原始碼存放於 GitLab，歡迎貢獻。下載頁面也提供了建立虛擬機器的逐步說明。