หากคุณเป็นคนหนึ่งที่ทำงานกับคอนเทนเนอร์เป็นจำนวนมาก ฉันขอแนะนำให้อ่านบทความต่อไปนี้ซึ่งเราจะพูดถึง Wolfi OS ซึ่งเป็นการกระจาย Linux ชุมชนใหม่ที่รวมแง่มุมที่ดีที่สุดของอิมเมจฐานคอนเทนเนอร์ที่มีอยู่เข้ากับมาตรการรักษาความปลอดภัยเริ่มต้น ซึ่งจะรวมลายเซ็นซอฟต์แวร์ที่ขับเคลื่อนโดย Sigstore ที่มา และ BOM ของซอฟต์แวร์
Wolfi OS เป็นระบบกระจายแบบแยกส่วนที่ออกแบบมาสำหรับยุคที่ใช้ระบบคลาวด์ ไม่มีเคอร์เนลของตัวเอง แต่ขึ้นอยู่กับสภาพแวดล้อม (เช่น รันไทม์ของคอนเทนเนอร์) ในการจัดเตรียมเคอร์เนล การแยกข้อกังวลใน Wolfi หมายความว่าสามารถปรับให้เข้ากับการตั้งค่าที่หลากหลาย
เกี่ยวกับ Wolfi OS
ในที่เก็บบน GitHub เราพบว่า:
Chainguard เริ่มโครงการ Wolfi เพื่อเปิดใช้การสร้าง Chainguard Images ซึ่งเป็นคอลเลกชั่นรูปภาพที่ไม่มีการแจกจ่ายที่คัดสรรแล้วซึ่งตรงตามข้อกำหนดของซัพพลายเชนซอฟต์แวร์ที่ปลอดภัย สิ่งนี้ต้องการการแจกจ่าย Linux พร้อมส่วนประกอบในระดับความละเอียดที่เหมาะสมและรองรับทั้ง glibc และ musl ซึ่งเป็นสิ่งที่ยังไม่มีในระบบนิเวศ Linux แบบเนทีฟบนคลาวด์
นอกจากนี้ยังกล่าวถึง Wolfi ซึ่งชื่อนี้ได้รับแรงบันดาลใจจาก ปลาหมึกยักษ์ที่เล็กที่สุดในโลก, มีคุณสมบัติหลักบางประการ สิ่งที่ทำให้แตกต่างจาก distros อื่น ๆ ที่มุ่งเน้นไปที่สภาพแวดล้อมแบบเนทีฟคลาวด์ / คอนเทนเนอร์:
- จัดเตรียม SBOM เวลาคอมไพล์คุณภาพสูงเป็นมาตรฐานสำหรับแพ็คเกจทั้งหมด
- แพ็คเกจได้รับการออกแบบให้มีความละเอียดและสมบูรณ์ในตัวเอง เพื่อรองรับภาพที่มีขนาดเล็กที่สุด
- ใช้รูปแบบแพ็คเกจ apk ที่ลองและเชื่อถือได้
- ระบบการสร้างที่เปิดเผยและทำซ้ำได้อย่างสมบูรณ์
- ออกแบบมาเพื่อรองรับ glibc และ musl
เป็นมูลค่าการกล่าวขวัญว่า Wolfi OS เป็นการกระจาย Linux ออกแบบ ตั้งแต่เริ่มต้นนั่นคือ ไม่ได้ขึ้นอยู่กับการแจกจ่ายอื่น ๆ ที่มีอยู่ และมีวัตถุประสงค์เพื่อสนับสนุนกระบวนทัศน์การคำนวณที่ใหม่กว่า เช่น คอนเทนเนอร์
แม้ว่าวูล์ฟฟี่ มีหลักการออกแบบคล้ายกับอัลไพน์ (เช่นการใช้ apk) เป็น distro อื่นที่มุ่งเน้นไปที่ความปลอดภัยของห่วงโซ่อุปทาน ปัจจุบัน Wolfi ไม่ได้สร้างเคอร์เนล Linux ของตัวเอง ซึ่งแตกต่างจาก Alpine แต่อาศัยสภาพแวดล้อมโฮสต์ (เช่น รันไทม์ของคอนเทนเนอร์) เพื่อจัดเตรียมเคอร์เนลให้
และสำหรับผู้สร้าง Wolfi ความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์นั้นไม่เหมือนใคร เนื่องจากเขากล่าวว่ามีการโจมตีประเภทต่างๆ มากมายที่สามารถกำหนดเป้าหมายได้หลายจุดในวงจรชีวิตของซอฟต์แวร์ คุณไม่สามารถเพียงแค่หยิบซอฟต์แวร์รักษาความปลอดภัยสักชิ้น เปิดใช้ และป้องกันตัวเองจากทุกสิ่ง
“เราเรียก Wolfi ว่า undistro เพราะไม่ใช่การแจกจ่าย Linux เต็มรูปแบบที่ออกแบบมาเพื่อทำงานบน bare-metal แต่เป็นการแจกจ่ายแบบแยกส่วนซึ่งออกแบบมาสำหรับยุคคลาวด์เนทีฟ สิ่งที่น่าสังเกตมากที่สุดคือเราไม่ได้รวมเคอร์เนลของ Linux แต่อาศัยสภาพแวดล้อม (เช่น รันไทม์ของคอนเทนเนอร์) ในการจัดหาแทน” Dan Lorenc ซีอีโอของ Chainguard กล่าว
“นอกจากนี้ ลีนุกซ์ดิสทริบิวชันมักจะปล่อยเฉพาะซอฟต์แวร์เวอร์ชันเสถียรเป็นระยะเวลานาน ในขณะที่นักพัฒนาซอฟต์แวร์ที่ติดตั้งซอฟต์แวร์ (อีกครั้ง) ทำการติดตั้งด้วยตนเองเพื่อรับแพตช์เวอร์ชันล่าสุดหรือเวอร์ชันล่าสุด เป็นผลให้มีการตัดการเชื่อมต่ออย่างมากระหว่างสิ่งที่สแกนเนอร์สามารถตรวจจับผ่าน CVE ความปลอดภัยของห่วงโซ่อุปทานของซอฟต์แวร์และสิ่งที่มีอยู่จริงในสภาพแวดล้อมทั่วไป
Wolfi ถ่ายภาพคอนเทนเนอร์ฐานที่อัปเดตอย่างต่อเนื่อง ที่กำหนดเป้าหมายช่องโหว่ที่รู้จักเป็นศูนย์ เพื่อขจัดความล่าช้านี้ระหว่างการกระจายทั่วไปและอิมเมจคอนเทนเนอร์ และผู้ใช้เรียกใช้อิมเมจที่มีช่องโหว่ที่ทราบ หมาป่า ปิดช่องว่างนี้ ตรวจสอบให้แน่ใจว่า อิมเมจคอนเทนเนอร์มีข้อมูลที่มา (แหล่งที่มาของภาพและตรวจสอบให้แน่ใจว่าไม่ได้ถูกดัดแปลง) และทำให้ SBOM สร้างสิ่งที่สามารถเกิดขึ้นได้ในระหว่างกระบวนการสร้าง ไม่ใช่ในตอนท้าย
ในที่สุดถ้าคุณเป็น สนใจที่จะทราบข้อมูลเพิ่มเติมเกี่ยวกับเรื่องนี้ เกี่ยวกับรุ่นใหม่นี้คุณสามารถตรวจสอบรายละเอียดได้ใน ลิงค์ต่อไปนี้