Wolfi OS: dystrybucja przeznaczona dla kontenerów i łańcucha dostaw

Darkcrizt

4 minut

wilki os

Wolfi to lekka dystrybucja oprogramowania GNU zaprojektowana z myślą o minimalizmie, dzięki czemu nadaje się do środowisk kontenerowych.

Jeśli jesteś jednym z tych, którzy dużo pracują z kontenerami, mogę polecić przeczytanie następującego artykułu, w którym porozmawiamy o Wolfi OS, nowej społecznościowej dystrybucji Linuksa, która łączy najlepsze aspekty istniejących obrazów bazowych kontenerów z domyślnymi środkami bezpieczeństwa że będą zawierać sygnatury oprogramowania obsługiwane przez Sigstore, pochodzenie i zestawienia BOM oprogramowania.

Wolfi OS to uproszczona dystrybucja zaprojektowana z myślą o erze natywnej chmury. Nie ma własnego jądra, ale raczej zależy od środowiska (takiego jak środowisko uruchomieniowe kontenera), aby je zapewnić. To rozdzielenie problemów w Wolfi oznacza, że ​​można go dostosować do różnych ustawień.

O WolfiOS

W jego repozytorium na GitHub możemy znaleźć, że:

Chainguard rozpoczął projekt Wolfi, aby umożliwić tworzenie obrazów Chainguard, naszej kolekcji wyselekcjonowanych obrazów wolnych od dystrybucji, które spełniają wymagania bezpiecznego łańcucha dostaw oprogramowania. Wymagało to dystrybucji Linuksa z komponentami o odpowiedniej szczegółowości i obsługą zarówno glibc, jak i musl , co nie jest jeszcze dostępne w natywnym dla chmury ekosystemie Linuksa.

Wspomniano również, że Wolfi, którego imię zostało zainspirowane przez najmniejsza ośmiornica na świecie, ma kilka kluczowych cech Co odróżnia ją od innych dystrybucji, które koncentrują się na środowiskach chmurowych/kontenerowych:

  • Zapewnia wysokiej jakości SBOM w czasie kompilacji jako standard dla wszystkich pakietów
  • Pakiety są zaprojektowane tak, aby były szczegółowe i samodzielne, aby obsługiwały minimalne obrazy
  • Używa wypróbowanego i zaufanego formatu pakietu apk
  • W pełni deklaratywny i powtarzalny system kompilacji
  • Zaprojektowany do obsługi glibc i musl

Warto zaznaczyć, że Wolfi OS to dystrybucja Linuksa zaprojektowany od początku, to znaczy nie jest oparty na żadnej innej istniejącej dystrybucji i jest przeznaczony do obsługi nowszych paradygmatów obliczeniowych, takich jak kontenery.

Chociaż Wolfie ma podobne zasady projektowania do Alpine (np. przy użyciu apk) to inna dystrybucja, która koncentruje się na bezpieczeństwie łańcucha dostaw. W przeciwieństwie do Alpine, Wolfi obecnie nie buduje własnego jądra Linuksa, ale zamiast tego polega na środowisku hosta (na przykład środowisku wykonawczym kontenera), aby je zapewnić.

I to właśnie dla twórcy Wolfi bezpieczeństwo łańcucha dostaw oprogramowania jest wyjątkowe, ponieważ wspomina on, że ma wiele różnych rodzajów ataków, które mogą dotyczyć wielu różnych punktów cyklu życia oprogramowania. Nie możesz po prostu wziąć oprogramowania zabezpieczającego, włączyć go i chronić się przed wszystkim.

„Odnosimy się do Wolfi jako undistro, ponieważ nie jest to pełna dystrybucja Linuksa zaprojektowana do działania na gołym metalu, ale raczej okrojona dystrybucja zaprojektowana z myślą o erze natywnej chmury. Przede wszystkim nie dodaliśmy jądra Linuksa, ale zamiast tego polegaliśmy na środowisku (takim jak środowisko uruchomieniowe kontenera), aby je zapewnić” – powiedział Dan Lorenc, dyrektor generalny Chainguard.

„Ponadto same dystrybucje Linuksa zwykle wypuszczają tylko stabilne wersje oprogramowania przez długi czas, podczas gdy programiści instalujący oprogramowanie (ponownie) przeprowadzają ręczne instalacje, aby uzyskać najnowsze lub najnowsze wersje. W rezultacie istnieje ogromna rozbieżność między tym, co skanery mogą wykryć za pomocą CVE bezpieczeństwa łańcucha dostaw oprogramowania, a tym, co faktycznie istnieje w typowym środowisku.

Wolfi wykonuje stale aktualizowane zdjęcia kontenerów bazowych które celują w zero znanych luk, Aby wyeliminować to opóźnienie między typowymi dystrybucjami a obrazami kontenerów, oraz użytkowników uruchamiających obrazy ze znanymi lukami w zabezpieczeniach. wilki zamknąć tę lukę upewniając się, że obrazy kontenerów zawierają informacje o pochodzeniu (skąd pochodzą obrazy i upewnienie się, że nie zostaną one zmanipulowane) i sprawia, że ​​generowanie SBOM jest czymś, co może się zdarzyć podczas procesu kompilacji, a nie na końcu.

w końcu jeśli jesteś chcesz dowiedzieć się więcej na ten temat o nowej wersji, możesz sprawdzić szczegóły w poniższy link.


Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: AB Internet Networks 2008 SL
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.