Wolfi OS: дистрибутив, призначений для контейнерів і ланцюга поставок

Darkcrizt

4 хвилин

wolfi os

Wolfi — це легкий дистрибутив програмного забезпечення GNU, розроблений навколо мінімалізму, що робить його придатним для контейнерних середовищ.

Якщо ви один із тих, хто багато працює з контейнерами, я рекомендую прочитати наступну статтю, де ми будемо говорити про Wolfi OS, новий дистрибутив Linux для спільноти, який поєднує найкращі аспекти існуючих базових образів контейнерів із стандартними заходами безпеки що вони включатимуть сигнатури програмного забезпечення на основі Sigstore, походження та специфікації програмного забезпечення.

Wolfi OS — це скорочений дистрибутив, розроблений для епохи використання хмарних технологій. У нього немає власного ядра, а його забезпечення залежить від середовища (наприклад, середовища виконання контейнера). Такий розподіл проблем у Wolfi означає, що його можна адаптувати до різноманітних налаштувань.

Про Wolfi OS

У його репозиторії на GitHub ми можемо знайти, що:

Chainguard започаткував проект Wolfi, щоб створити Chainguard Images, нашу колекцію підібраних зображень, які не розповсюджуються, і які відповідають вимогам безпечного ланцюжка постачання програмного забезпечення. Для цього потрібен був дистрибутив Linux із компонентами належної деталізації та підтримкою glibc і musl, чого ще немає в екосистемі Linux, яка працює в хмарі.

Також згадується, що Вулфі, чиє ім'я було навіяно найменший восьминіг у світі, має деякі ключові особливості Що відрізняє його від інших дистрибутивів, які зосереджені на хмарних/контейнерних середовищах:

  • Забезпечує високоякісний SBOM під час компіляції як стандарт для всіх пакетів
  • Пакети розроблені так, щоб бути детальними та самодостатніми, щоб підтримувати мінімальну кількість зображень
  • Використовує перевірений і надійний формат пакета apk
  • Повністю декларативна та відтворювана система збірки
  • Розроблено для підтримки glibc і musl

Варто зазначити це Wolfi OS — це дистрибутив Linux розроблений З самого початку, тобто він не базується на будь-якому іншому існуючому дистрибутиві та призначений для підтримки нових обчислювальних парадигм, таких як контейнери.

Хоча Вольфі має деякі принципи дизайну, подібні до Alpine (наприклад, використання apk), є іншим дистрибутивом, який зосереджується на безпеці ланцюга постачання. На відміну від Alpine, Wolfi наразі не створює власне ядро ​​Linux, а натомість покладається на хост-середовище (наприклад, середовище виконання контейнера), щоб забезпечити його.

І це те, що для творця Wolfi безпека ланцюжка постачання програмного забезпечення є унікальною, оскільки він згадує, що вона має багато різних типів атак, які можуть бути спрямовані на різні точки життєвого циклу програмного забезпечення. Ви не можете просто взяти програмне забезпечення безпеки, увімкнути його та захистити себе від усього.

«Ми називаємо Wolfi недистрибутивом, тому що це не повноцінний дистрибутив Linux, призначений для роботи на «голому стані», а скоріше скорочений дистрибутив, розроблений для епохи використання хмарних технологій. Найважливішим є те, що ми не включили ядро ​​Linux, а замість цього покладалися на середовище (наприклад, середовище виконання контейнера), щоб забезпечити його», — сказав Ден Лоренц, генеральний директор Chainguard.

«Крім того, самі дистрибутиви Linux зазвичай випускають стабільні версії програмного забезпечення протягом тривалого періоду часу, тоді як розробники, які встановлюють програмне забезпечення, (знову) встановлюють вручну, щоб отримати останні або останні версії. У результаті існує величезний розрив між тим, що сканери можуть виявити за допомогою CVE безпеки ланцюга поставок програмного забезпечення, і тим, що насправді існує в типовому середовищі.

Wolfi постійно оновлює зображення базових контейнерів які націлені на нуль відомих вразливостей, Щоб усунути цю затримку між звичайними дистрибутивами та зображеннями контейнерів, і користувачі, які запускають образи з відомими вразливими місцями. вовк закрити цю прогалину переконавшись, що зображення контейнерів мають інформацію про походження (звідки надходять зображення та переконатися, що вони не підроблені) і робить генерацію SBOM чимось, що може статися під час процесу збирання, а не в кінці.

нарешті, якщо ти є цікаво дізнатися про це більше про цей новий випуск, ви можете перевірити деталі в за наступним посиланням.


Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: AB Internet Networks 2008 SL
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.