Wolfi OS: הפצה המיועדת למכולות ולשרשרת האספקה

wolfi os

Wolfi היא הפצת תוכנה קלת משקל של GNU שתוכננה סביב מינימליזם, מה שהופך אותה למתאימה לסביבות מכולות.

אם אתה מאלה שעובדים הרבה עם קונטיינרים, אני יכול להמליץ ​​לקרוא את המאמר הבא בו נדבר על Wolfi OS, שהיא הפצת לינוקס חדשה קהילתית המשלבת את ההיבטים הטובים ביותר של תמונות בסיס הקונטיינרים הקיימות עם אמצעי אבטחה ברירת מחדל. שהם יכללו חתימות תוכנה המופעלות על-ידי Sigstore, מקור ורכיבי תוכנה.

Wolfi OS היא הפצה מופשטת המיועדת לעידן יליד הענן. אין לו גרעין משלו, אלא תלוי בסביבה (כגון זמן הריצה של מיכל) כדי לספק אחד. הפרדת הדאגות הזו בוולפי פירושה שהיא ניתנת להתאמה למגוון הגדרות.

על Wolfi OS

במאגר שלו ב-GitHub נוכל למצוא את זה:

Chainguard התחיל את פרויקט Wolfi כדי לאפשר את היצירה של Chainguard Images, אוסף התמונות שלנו ללא הפצה שנאספו העומדות בדרישות של שרשרת אספקת תוכנה מאובטחת. זה דרש הפצת לינוקס עם רכיבים בפירוט הראוי ועם תמיכה הן ב-glibc והן ב-musl , משהו שעדיין לא זמין במערכת האקולוגית של לינוקס המבוססת על ענן.

כמו כן מוזכר כי וולפי, ששמו נוצר בהשראת ה התמנון הקטן ביותר בעולם, יש כמה תכונות מפתח מה מייחד אותו מהפצות אחרות המתמקדות בסביבות מקוריות בענן/מכולות:

  • מספק SBOM בזמן קומפילציה איכותי כסטנדרט עבור כל החבילות
  • החבילות מתוכננות להיות גרגיריות ועצמאיות, כדי לתמוך בתמונות מינימליות
  • משתמש בפורמט חבילת ה-apk המנוסה והאמין
  • מערכת בנייה הצהרתית וניתנת לשחזור
  • עוצב לתמיכה ב-glibc ו-musl

ראוי להזכיר זאת Wolfi OS היא הפצת לינוקס מְעוּצָב ישר מההתחלה, כלומר, הוא אינו מבוסס על שום הפצה קיימת אחרת ומיועד לתמוך בפרדיגמות מחשוב חדשות יותר, כגון קונטיינרים.

אמנם וולפי יש כמה עקרונות עיצוב דומים לאלפין (כגון שימוש ב-apk), הוא הפצה אחרת המתמקדת באבטחת שרשרת האספקה. בניגוד לאלפין, וולפי כרגע לא בונה ליבת לינוקס משלה, אלא מסתמכת על הסביבה המארחת (לדוגמה, זמן ריצה של מיכל) כדי לספק אחת כזו.

וזה שעבור היוצר של וולפי האבטחה של שרשרת אספקת התוכנה היא ייחודית, שכן הוא מזכיר שיש לה סוגים רבים ושונים של התקפות שיכולות לכוון לנקודות רבות ושונות במחזור חיי התוכנה. אתה לא יכול פשוט לקחת פיסת תוכנת אבטחה, להפעיל אותה ולהגן על עצמך מכל דבר.

"אנחנו מתייחסים לוולפי כאל undistro כי זו לא הפצת לינוקס מלאה שנועדה לרוץ על Bare-metal, אלא הפצה מופשטת המיועדת לעידן המקור של הענן. בעיקר, לא כללנו ליבת לינוקס, אלא הסתמכנו על הסביבה (כגון זמן הריצה של קונטיינר) כדי לספק אותה", אמר דן לורנץ, מנכ"ל Chainguard.

"בנוסף, הפצות לינוקס עצמן משחררות בדרך כלל רק גרסאות יציבות של תוכנה לתקופות זמן ארוכות, בעוד שמפתחים שמתקינים תוכנה מבצעים (שוב) התקנות ידניות כדי לקבל את הגירסאות העדכניות ביותר או האחרונות. כתוצאה מכך, יש נתק עצום בין מה שסורקים יכולים לזהות באמצעות CVEs של אבטחת שרשרת אספקת התוכנה לבין מה שקיים בפועל בסביבה הטיפוסית.

וולפי מצלם תמונות מתעדכנות כל הזמן של מכולות בסיס שמכוון לאפס פגיעויות ידועות, כדי לבטל את העיכוב הזה בין הפצות נפוצות לתמונות מיכל, ומשתמשים שמריצים תמונות עם נקודות תורפה ידועות. וולף לסגור את הפער הזה לוודא את לתמונות מיכל יש מידע על מוצא (מאיפה התמונות מגיעות ומוודא שלא יתעסקו בהן) והופך את יצירת ה-SBOM למשהו שיכול לקרות במהלך תהליך הבנייה, ולא בסופו.

סוף סוף אם אתה מעוניין לדעת יותר על זה לגבי המהדורה החדשה הזו, אתה יכול לבדוק את הפרטים ב הקישור הבא.


היה הראשון להגיב

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי על הנתונים: AB Internet Networks 2008 SL
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.