Wolfi OS: una distro pensata per i container e la supply chain

Darkcrizt

4 minuti

Wolfi OS

Wolfi è una distribuzione software GNU leggera progettata attorno al minimalismo, che la rende adatta per ambienti containerizzati.

Se sei uno di quelli che lavora molto con i container, posso consigliarti di leggere il seguente articolo in cui parleremo di Wolfi OS, che è una nuova distribuzione Linux della comunità che combina gli aspetti migliori delle immagini di base dei container esistenti con misure di sicurezza predefinite che includeranno firme software basate su Sigstore, provenienza e distinte materiali del software.

Wolfi OS è una distribuzione ridotta al minimo progettata per l'era nativa del cloud. Non ha un kernel proprio, ma dipende piuttosto dall'ambiente (come il runtime del contenitore) per fornirne uno. Questa separazione delle preoccupazioni in Wolfi significa che è adattabile a una varietà di impostazioni.

Informazioni sul sistema operativo Wolfi

Nel suo repository su GitHub possiamo trovare che:

Chainguard ha avviato il progetto Wolfi per consentire la creazione di Chainguard Images, la nostra raccolta di immagini curate senza distribuzione che soddisfano i requisiti di una catena di fornitura software sicura. Ciò richiedeva una distribuzione Linux con componenti alla giusta granularità e con supporto sia per glibc che per musl , qualcosa non ancora disponibile nell'ecosistema Linux nativo del cloud.

Si dice anche che Wolfi, il cui nome è stato ispirato dal il polpo più piccolo del mondo, ha alcune caratteristiche fondamentali Ciò che lo distingue dalle altre distribuzioni che si concentrano su ambienti cloud-native/container:

  • Fornisce una SBOM in fase di compilazione di alta qualità come standard per tutti i pacchetti
  • I pacchetti sono progettati per essere granulari e autonomi, per supportare immagini minime
  • Utilizza il formato del pacchetto apk collaudato e affidabile
  • Sistema di compilazione completamente dichiarativo e riproducibile
  • Progettato per supportare glibc e musl

Vale la pena menzionarlo Wolfi OS è una distribuzione Linux progettato da zero, ovvero non è basato su nessun'altra distribuzione esistente ed è destinato a supportare paradigmi informatici più recenti, come i contenitori.

Anche se Wolfi ha alcuni principi di progettazione simili a Alpine (come l'utilizzo di apk), è una distribuzione diversa che si concentra sulla sicurezza della catena di approvvigionamento. A differenza di Alpine, Wolfi attualmente non costruisce il proprio kernel Linux, ma si affida invece all'ambiente host (ad esempio, un container runtime) per fornirne uno.

Ed è che per il creatore di Wolfi la sicurezza della catena di fornitura del software è unica, poiché afferma che ha molti diversi tipi di attacchi che possono colpire molti punti diversi nel ciclo di vita del software. Non puoi semplicemente prendere un software di sicurezza, accenderlo e proteggerti da tutto.

“Ci riferiamo a Wolfi come a undistro perché non è una distribuzione Linux completa progettata per funzionare su bare metal, ma piuttosto una distribuzione ridotta al minimo progettata per l'era cloud-native. In particolare, non abbiamo incluso un kernel Linux, ma ci siamo invece affidati all'ambiente (come il runtime del container) per fornirlo”, ha affermato Dan Lorenc, CEO di Chainguard.

“Inoltre, le stesse distribuzioni Linux in genere rilasciano solo versioni stabili del software per lunghi periodi di tempo, mentre gli sviluppatori che installano il software stanno (di nuovo) eseguendo installazioni manuali per ottenere le versioni più recenti o più recenti. Di conseguenza, esiste un'enorme discrepanza tra ciò che gli scanner possono rilevare tramite i CVE di sicurezza della catena di fornitura del software e ciò che esiste effettivamente nell'ambiente tipico.

Wolfi acquisisce immagini costantemente aggiornate dei contenitori di base che prendono di mira zero vulnerabilità note, Per eliminare questo ritardo tra le distribuzioni comuni e le immagini dei contenitori, e utenti che eseguono immagini con vulnerabilità note. wolfi colmare questo divario assicurandosi che il le immagini del contenitore hanno informazioni sulla provenienza (da dove provengono le immagini e assicurandosi che non vengano manomesse) e rende la generazione di SBOM qualcosa che può accadere durante il processo di costruzione e non alla fine.

finalmente se lo sei interessati a saperne di più riguardo a questa nuova versione, puoi controllare i dettagli in il seguente collegamento.


Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile del trattamento: AB Internet Networks 2008 SL
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.