Wolfi OS: eine Distribution für Container und die Lieferkette

Darkcrizt

4 Minuten

wolfi os

Wolfi ist eine leichtgewichtige GNU-Softwareverteilung, die auf Minimalismus ausgelegt ist und sich daher für containerisierte Umgebungen eignet.

Wenn Sie zu denen gehören, die viel mit Containern arbeiten, kann ich Ihnen empfehlen, den folgenden Artikel zu lesen, in dem wir über Wolfi OS sprechen, eine neue Community-Linux-Distribution, die die besten Aspekte der bestehenden Container-Basis-Images mit Standard-Sicherheitsmaßnahmen kombiniert dass Sie von Sigstore bereitgestellte Softwaresignaturen, Herkunft und Softwarestücklisten enthalten.

Wolfi OS ist eine abgespeckte Distribution, die für die Cloud-native Ära entwickelt wurde. Es hat keinen eigenen Kernel, sondern hängt eher von der Umgebung (z. B. der Container-Laufzeit) ab, um einen bereitzustellen. Diese Trennung von Interessen in Wolfi bedeutet, dass es an eine Vielzahl von Einstellungen angepasst werden kann.

Über Wolfi OS

In seinem Repository auf GitHub finden wir Folgendes:

Chainguard startete das Wolfi-Projekt, um die Erstellung von Chainguard-Bildern zu ermöglichen, unserer Sammlung kuratierter, vertriebsfreier Bilder, die die Anforderungen einer sicheren Software-Lieferkette erfüllen. Dies erforderte eine Linux-Distribution mit Komponenten in der richtigen Granularität und mit Unterstützung für glibc und musl , etwas, das im Cloud-nativen Linux-Ökosystem noch nicht verfügbar ist.

Es wird auch erwähnt, dass Wolfi, dessen Name von der inspiriert wurde kleinster Oktopus der Welt, hat einige Schlüsselfunktionen Was es von anderen Distributionen unterscheidet, die sich auf Cloud-native/Container-Umgebungen konzentrieren:

  • Stellt standardmäßig für alle Pakete ein qualitativ hochwertiges SBOM zur Kompilierzeit bereit
  • Pakete sind so konzipiert, dass sie granular und in sich geschlossen sind, um minimale Bilder zu unterstützen
  • Verwendet das bewährte apk-Paketformat
  • Vollständig deklaratives und reproduzierbares Build-System
  • Entwickelt, um glibc und musl zu unterstützen

Es lohnt sich das zu erwähnen Wolfi OS ist eine Linux-Distribution entworfen von Grund auf neu, das heißt, es basiert auf keiner anderen bestehenden Distribution und soll neuere Computerparadigmen wie Container unterstützen.

Obwohl Wolfi hat einige ähnliche Designprinzipien wie Alpine (z. B. die Verwendung von apk) ist eine andere Distribution, die sich auf die Sicherheit der Lieferkette konzentriert. Im Gegensatz zu Alpine baut Wolfi derzeit keinen eigenen Linux-Kernel, sondern verlässt sich stattdessen darauf, dass die Host-Umgebung (beispielsweise eine Container-Laufzeitumgebung) einen bereitstellt.

Und für den Schöpfer von Wolfi ist die Sicherheit der Softwarelieferkette einzigartig, da er erwähnt, dass es viele verschiedene Arten von Angriffen gibt, die auf viele verschiedene Punkte im Softwarelebenszyklus abzielen können. Sie können nicht einfach eine Sicherheitssoftware nehmen, sie einschalten und sich vor allem schützen.

„Wir bezeichnen Wolfi als Undistro, weil es keine vollständige Linux-Distribution ist, die für die Ausführung auf Bare-Metal entwickelt wurde, sondern eine abgespeckte Distribution, die für die Cloud-native Ära entwickelt wurde. Vor allem haben wir keinen Linux-Kernel eingebaut, sondern uns stattdessen auf die Umgebung (wie die Container-Laufzeitumgebung) verlassen, um ihn bereitzustellen“, sagte Dan Lorenc, CEO von Chainguard.

„Darüber hinaus veröffentlichen Linux-Distributionen selbst normalerweise nur stabile Versionen von Software für lange Zeiträume, während Entwickler, die Software installieren, (wieder) manuelle Installationen durchführen, um die neuesten oder neuesten Versionen zu erhalten. Infolgedessen gibt es eine große Diskrepanz zwischen dem, was Scanner über Sicherheits-CVEs für die Softwarelieferkette erkennen können, und dem, was tatsächlich in der typischen Umgebung vorhanden ist.

Wolfi macht ständig aktualisierte Bilder von Basiscontainern die auf null bekannte Schwachstellen abzielen, Um diese Verzögerung zwischen gängigen Distributionen und Container-Images zu beseitigen, und Benutzer, die Images mit bekannten Schwachstellen ausführen. Wolfi diese Lücke schließen dafür sorgen, dass Container-Images haben Herkunftsinformationen (woher die Bilder kommen und sicherstellen, dass sie nicht manipuliert werden) und macht die SBOM-Generierung zu etwas, das während des Build-Prozesses und nicht am Ende passieren kann.

schließlich, wenn Sie sind daran interessiert, mehr darüber zu erfahren Zu dieser neuen Version können Sie die Details einchecken den folgenden Link.


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: AB Internet Networks 2008 SL
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.