Wolfi OS: дистрибутив, предназначенный для контейнеров и цепочки поставок

Вольфи Ос

Wolfi — это легкий дистрибутив программного обеспечения GNU, разработанный с учетом минимализма, что делает его подходящим для контейнерных сред.

Если вы один из тех, кто много работает с контейнерами, я могу порекомендовать прочитать следующую статью, в которой мы поговорим о Wolfi OS, новом дистрибутиве Linux сообщества, который сочетает в себе лучшие аспекты существующих базовых образов контейнеров с мерами безопасности по умолчанию. что они будут включать подписи программного обеспечения на базе Sigstore, происхождение и спецификации программного обеспечения.

Wolfi OS — это урезанный дистрибутив, разработанный для облачной эпохи. Он не имеет собственного ядра, а скорее зависит от среды (например, от среды выполнения контейнера), которая предоставляет его. Такое разделение задач в Wolfi означает, что его можно адаптировать к различным настройкам.

Об ОС Wolfi

В его репозитории на GitHub мы можем найти это:

Chainguard запустила проект Wolfi, чтобы создать образы Chainguard — нашу коллекцию тщательно отобранных образов без распространения, отвечающих требованиям безопасной цепочки поставок программного обеспечения. Для этого требовался дистрибутив Linux с компонентами с надлежащей степенью детализации и поддержкой как glibc, так и musl, чего еще не было в облачной экосистеме Linux.

Также упоминается, что Вольфи, чье имя было вдохновлено самый маленький осьминог в мире, имеет некоторые ключевые особенности Что отличает его от других дистрибутивов, ориентированных на облачные/контейнерные среды:

  • Предоставляет высококачественный SBOM во время компиляции в качестве стандарта для всех пакетов.
  • Пакеты спроектированы так, чтобы быть детализированными и автономными, для поддержки минимального количества изображений.
  • Использует проверенный и надежный формат пакета apk
  • Полностью декларативная и воспроизводимая система сборки
  • Разработан для поддержки glibc и musl

Стоит отметить, что Wolfi OS — это дистрибутив Linux. разработан с самого начала, то есть он не основан на каком-либо другом существующем дистрибутиве и предназначен для поддержки новых парадигм вычислений, таких как контейнеры.

Хотя Вольфи имеет некоторые принципы дизайна, аналогичные Alpine (например, с использованием apk) — это другой дистрибутив, ориентированный на безопасность цепочки поставок. В отличие от Alpine, Wolfi в настоящее время не создает собственное ядро ​​​​Linux, а вместо этого полагается на хост-среду (например, среду выполнения контейнера) для его предоставления.

И дело в том, что для создателя Wolfi безопасность цепочки поставок программного обеспечения уникальна, поскольку он упоминает, что она имеет множество различных типов атак, которые могут быть нацелены на множество разных точек в жизненном цикле программного обеспечения. Вы не можете просто взять защитное программное обеспечение, включить его и защитить себя от всего.

«Мы называем Wolfi недистрибутивом, потому что это не полноценный дистрибутив Linux, предназначенный для работы на «голом железе», а скорее урезанный дистрибутив, разработанный для эпохи облачных вычислений. В частности, мы не включили ядро ​​Linux, а вместо этого полагались на среду (например, на среду выполнения контейнера), чтобы предоставить его», — сказал Дэн Лоренц, генеральный директор Chainguard.

«Кроме того, сами дистрибутивы Linux обычно выпускают стабильные версии программного обеспечения только в течение длительных периодов времени, в то время как разработчики, которые устанавливают программное обеспечение, (опять же) выполняют ручную установку, чтобы получить последние или самые последние версии с исправлениями. В результате существует огромный разрыв между тем, что сканеры могут обнаружить с помощью CVE безопасности цепочки поставок программного обеспечения, и тем, что на самом деле существует в типичной среде.

Wolfi делает постоянно обновляемые снимки базовых контейнеров которые нацелены на ноль известных уязвимостей, Чтобы устранить эту задержку между общими дистрибутивами и образами контейнеров, и пользователи, запускающие образы с известными уязвимостями. волки закрыть этот пробел убедиться, что изображения контейнеров имеют информацию о происхождении (откуда берутся изображения и следят за тем, чтобы они не были подделаны) и делает генерацию SBOM чем-то, что может произойти во время процесса сборки, а не в конце.

наконец, если вы интересно узнать об этом больше об этом новом выпуске вы можете проверить подробности в по следующей ссылке.


Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.