Wolfi OS: uma distribuição projetada para contêineres e cadeia de suprimentos

Darkcrizt

Minutos 4

wolfi os

Wolfi é uma distribuição leve de software GNU projetada em torno do minimalismo, tornando-a adequada para ambientes em contêineres.

Se você é daqueles que trabalha muito com containers, recomendo a leitura do seguinte artigo onde falaremos sobre o Wolfi OS, que é uma nova distribuição Linux comunitária que combina os melhores aspectos das imagens base de containers existentes com medidas de segurança padrão que eles incluirão assinaturas de software da Sigstore, proveniência e BOMs de software.

O Wolfi OS é uma distribuição simplificada projetada para a era nativa da nuvem. Ele não possui um kernel próprio, mas depende do ambiente (como o tempo de execução do contêiner) para fornecer um. Essa separação de preocupações em Wolfi significa que ele é adaptável a uma variedade de configurações.

Sobre o Wolfi OS

Em seu repositório no GitHub podemos encontrar que:

Chainguard iniciou o projeto Wolfi para permitir a criação de Chainguard Images, nossa coleção de imagens curadas sem distribuição que atendem aos requisitos de uma cadeia de suprimentos de software segura. Isso exigia uma distribuição Linux com componentes na granularidade adequada e com suporte para glibc e musl , algo ainda não disponível no ecossistema Linux nativo da nuvem.

Também é mencionado que Wolfi, cujo nome foi inspirado no menor polvo do mundo, tem alguns recursos principais O que o diferencia de outras distros que se concentram em ambientes nativos de nuvem/contêiner:

  • Fornece um SBOM de tempo de compilação de alta qualidade como padrão para todos os pacotes
  • Os pacotes são projetados para serem granulares e independentes, para suportar imagens mínimas
  • Usa o formato de pacote apk testado e confiável
  • Sistema de compilação totalmente declarativo e reproduzível
  • Projetado para suportar glibc e musl

Cabe mencionar que Wolfi OS é uma distribuição Linux projetado Desde cedo, ou seja, não é baseado em nenhuma outra distribuição existente e destina-se a suportar novos paradigmas de computação, como contêineres.

Embora Wolfi tem alguns princípios de design semelhantes ao Alpine (como usar apk), é uma distribuição diferente que se concentra na segurança da cadeia de suprimentos. Ao contrário da Alpine, a Wolfi atualmente não constrói seu próprio kernel do Linux, mas depende do ambiente do host (por exemplo, um tempo de execução de contêiner) para fornecer um.

E é que, para o criador de Wolfi, a segurança da cadeia de suprimentos de software é única, pois ele menciona que ela possui muitos tipos diferentes de ataques que podem atingir muitos pontos diferentes no ciclo de vida do software. Você não pode simplesmente pegar um software de segurança, ligá-lo e se proteger de tudo.

“Nos referimos ao Wolfi como undistro porque não é uma distribuição Linux completa projetada para rodar em bare-metal, mas sim uma distribuição simplificada projetada para a era nativa da nuvem. Mais notavelmente, não incluímos um kernel do Linux, mas, em vez disso, contamos com o ambiente (como o tempo de execução do contêiner) para fornecê-lo”, disse Dan Lorenc, CEO da Chainguard.

“Além disso, as próprias distribuições do Linux geralmente lançam apenas versões estáveis ​​de software por longos períodos de tempo, enquanto os desenvolvedores que instalam software estão (novamente) fazendo instalações manuais para obter as versões mais recentes ou mais recentes. Como resultado, há uma grande desconexão entre o que os scanners podem detectar por meio de CVEs de segurança da cadeia de suprimentos de software e o que realmente existe no ambiente típico.

Wolfi tira imagens constantemente atualizadas de contêineres de base que visam zero vulnerabilidades conhecidas, Para eliminar esse atraso entre distribuições comuns e imagens de contêiner, e usuários executando imagens com vulnerabilidades conhecidas. lobo fechar esta lacuna certificando-se de imagens de contêiner têm informações de proveniência (de onde vêm as imagens e garantindo que não sejam adulteradas) e torna a geração do SBOM algo que pode acontecer durante o processo de construção, e não no final.

finalmente se você está interessado em saber mais sobre isso sobre este novo lançamento, você pode verificar os detalhes em o seguinte link.


Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: AB Internet Networks 2008 SL
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.