Wolfi er en lett GNU-programvaredistribusjon som er designet rundt minimalisme, noe som gjør den egnet for containeriserte miljøer.
Hvis du er en av dem som jobber mye med containere, kan jeg anbefale å lese følgende artikkel hvor vi skal snakke om Wolfi OS, som er en ny felles Linux-distribusjon som kombinerer de beste aspektene ved de eksisterende containerbasebildene med standard sikkerhetstiltak at de vil inkludere Sigstore-drevne programvaresignaturer, herkomst og programvarestykklister.
Wolfi OS er en nedstrippet distribusjon designet for den skybaserte æraen. Den har ikke en egen kjerne, men avhenger snarere av miljøet (for eksempel beholderens kjøretid) for å gi en. Denne separasjonen av bekymringer i Wolfi betyr at den kan tilpasses en rekke innstillinger.
Om Wolfi OS
I depotet på GitHub kan vi finne at:
Chainguard startet Wolfi-prosjektet for å muliggjøre opprettelsen av Chainguard Images, vår samling av kuraterte distribusjonsfrie bilder som oppfyller kravene til en sikker programvareforsyningskjede. Dette krevde en Linux-distribusjon med komponenter med riktig granularitet og med støtte for både glibc og musl , noe som ennå ikke er tilgjengelig i det skybaserte Linux-økosystemet.
Det nevnes også at Wolfi, hvis navn var inspirert av minste blekksprut i verden, har noen nøkkelfunksjoner Hva skiller den fra andre distroer som fokuserer på skybaserte/beholdermiljøer:
- Gir en høykvalitets kompileringstids-SBOM som standard for alle pakker
- Pakker er designet for å være granulære og selvstendige, for å støtte minimale bilder
- Bruker det velprøvde apk-pakkeformatet
- Fullstendig deklarativt og reproduserbart byggesystem
- Designet for å støtte glibc og musl
Det er verdt å nevne det Wolfi OS er en Linux-distribusjon designet helt fra starten, det vil si at den ikke er basert på noen annen eksisterende distribusjon og er ment å støtte nyere databehandlingsparadigmer, for eksempel containere.
Selv om Wolfi har noen lignende designprinsipper som Alpine (som å bruke apk), er en annen distro som fokuserer på forsyningskjedesikkerhet. I motsetning til Alpine, bygger Wolfi for øyeblikket ikke sin egen Linux-kjerne, men er i stedet avhengig av vertsmiljøet (for eksempel en container-runtime) for å gi en.
Og det er at for skaperen av Wolfi er sikkerheten til programvareforsyningskjeden unik, siden han nevner at den har mange forskjellige typer angrep som kan målrettes mot mange forskjellige punkter i programvarens livssyklus. Du kan ikke bare ta et stykke sikkerhetsprogramvare, slå det på og beskytte deg mot alt.
"Vi omtaler Wolfi som en undistro fordi det ikke er en full Linux-distribusjon designet for å kjøre på bare-metal, men snarere en nedstrippet distribusjon designet for den skybaserte æraen. Mest bemerkelsesverdig inkluderte vi ikke en Linux-kjerne, men stolte i stedet på miljøet (som container-runtime) for å gi det,” sa Dan Lorenc, administrerende direktør i Chainguard.
"I tillegg gir Linux-distribusjoner i seg selv vanligvis bare ut stabile versjoner av programvare i lange perioder, mens utviklere som installerer programvare (igjen) utfører manuelle installasjoner for å få de nyeste eller nyeste versjonene. Som et resultat er det en enorm kobling mellom hva skannere kan oppdage via programvareforsyningskjedesikkerhets-CVEer og hva som faktisk eksisterer i det typiske miljøet.
Wolfi tar stadig oppdaterte bilder av basecontainere som sikter mot null kjente sårbarheter, For å eliminere denne forsinkelsen mellom vanlige distribusjoner og beholderbilder, og brukere som kjører bilder med kjente sårbarheter. ulv tette dette gapet sørge for at containerbilder har herkomstinformasjon (hvor bildene kommer fra og sørger for at de ikke blir tuklet med) og gjør SBOM-generering til noe som kan skje under byggeprosessen, og ikke på slutten.
endelig hvis du er det interessert i å vite mer om det om denne nye utgivelsen, kan du sjekke detaljene i følgende lenke.