Wolfi OS: een distro ontworpen voor containers en de toeleveringsketen

Darkcrizt

4 minuten

wolfi os

Wolfi is een lichtgewicht GNU-softwaredistributie die is ontworpen rond minimalisme, waardoor het geschikt is voor containeromgevingen.

Als u een van degenen bent die veel met containers werkt, kan ik u aanraden het volgende artikel te lezen waarin we het zullen hebben over Wolfi OS, een nieuwe community Linux-distributie die de beste aspecten van de bestaande containerbasisimages combineert met standaard beveiligingsmaatregelen dat ze door Sigstore aangedreven softwarehandtekeningen, herkomst en softwarestuklijsten zullen bevatten.

Wolfi OS is een uitgeklede distributie die is ontworpen voor het cloud-native tijdperk. Het heeft geen eigen kernel, maar is eerder afhankelijk van de omgeving (zoals de container-runtime) om er een te leveren. Deze scheiding van zorgen in Wolfi betekent dat het kan worden aangepast aan verschillende omgevingen.

Over Wolfi OS

In zijn repository op GitHub kunnen we vinden dat:

Chainguard startte het Wolfi-project om de creatie van Chainguard Images mogelijk te maken, onze verzameling samengestelde distributievrije afbeeldingen die voldoen aan de vereisten van een veilige softwaretoeleveringsketen. Dit vereiste een Linux-distributie met componenten met de juiste granulariteit en met ondersteuning voor zowel glibc als musl , iets wat nog niet beschikbaar is in het cloud-native Linux-ecosysteem.

Er wordt ook vermeld dat Wolfi, wiens naam is geïnspireerd door de kleinste octopus ter wereld, heeft een aantal belangrijke kenmerken Wat onderscheidt het van andere distro's die zich richten op cloud-native/containeromgevingen:

  • Biedt standaard een hoogwaardige compile-time SBOM voor alle pakketten
  • Pakketten zijn ontworpen om gedetailleerd en op zichzelf staand te zijn, om minimale afbeeldingen te ondersteunen
  • Gebruikt het beproefde en vertrouwde apk-pakketformaat
  • Volledig declaratief en reproduceerbaar bouwsysteem
  • Ontworpen om glibc en musl te ondersteunen

Dat is het vermelden waard Wolfi OS is een Linux-distributie ontworpen helemaal opnieuw, dat wil zeggen, het is niet gebaseerd op een andere bestaande distributie en is bedoeld om nieuwere computerparadigma's, zoals containers, te ondersteunen.

Hoewel Wolfi heeft een aantal vergelijkbare ontwerpprincipes als Alpine (zoals het gebruik van apk), is een andere distro die zich richt op beveiliging van de toeleveringsketen. In tegenstelling tot Alpine bouwt Wolfi momenteel geen eigen Linux-kernel, maar vertrouwt hij in plaats daarvan op de hostomgeving (bijvoorbeeld een container-runtime) om er een te leveren.

En het is dat voor de maker van Wolfi de beveiliging van de softwaretoeleveringsketen uniek is, omdat hij vermeldt dat er veel verschillende soorten aanvallen zijn die zich op veel verschillende punten in de softwarelevenscyclus kunnen richten. Je kunt niet zomaar een stukje beveiligingssoftware pakken, aanzetten en jezelf tegen alles beschermen.

“We noemen Wolfi een undistro omdat het geen volledige Linux-distributie is die is ontworpen om op bare-metal te draaien, maar eerder een uitgeklede distributie die is ontworpen voor het cloud-native tijdperk. Het meest opvallende is dat we geen Linux-kernel hebben toegevoegd, maar in plaats daarvan vertrouwden op de omgeving (zoals de container-runtime) om deze te leveren”, aldus Dan Lorenc, CEO van Chainguard.

“Bovendien brengen Linux-distributies zelf meestal alleen stabiele versies van software uit voor lange tijd, terwijl ontwikkelaars die software installeren (opnieuw) handmatige installaties uitvoeren om de nieuwste of meest recente versies gepatcht te krijgen. Als gevolg hiervan is er een enorme discrepantie tussen wat scanners kunnen detecteren via software-CVE's voor de beveiliging van de toeleveringsketen en wat er werkelijk bestaat in de typische omgeving.

Wolfi maakt voortdurend bijgewerkte afbeeldingen van basiscontainers die gericht zijn op nul bekende kwetsbaarheden, Om deze vertraging tussen algemene distributies en containerimages te elimineren, en gebruikers die afbeeldingen uitvoeren met bekende kwetsbaarheden. wolfi dicht dit gat ervoor zorgen dat de containerafbeeldingen hebben herkomstinformatie (waar de afbeeldingen vandaan komen en ervoor zorgen dat er niet mee wordt geknoeid) en maakt het genereren van SBOM iets dat tijdens het bouwproces kan gebeuren, en niet aan het einde.

eindelijk als je bent geïnteresseerd om er meer over te weten over deze nieuwe release, kun je de details bekijken in de volgende link.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: AB Internet Networks 2008 SL
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.