Wolfi là một bản phân phối phần mềm GNU nhẹ được thiết kế theo chủ nghĩa tối giản, làm cho nó phù hợp với các môi trường được đóng gói.
Nếu bạn là một trong những người làm việc nhiều với các bộ chứa, tôi có thể khuyên bạn nên đọc bài viết sau, nơi chúng ta sẽ nói về Wolfi OS, một bản phân phối Linux cộng đồng mới kết hợp các khía cạnh tốt nhất của hình ảnh cơ sở bộ chứa hiện có với các biện pháp bảo mật mặc định rằng Chúng sẽ bao gồm chữ ký, xuất xứ và BOM phần mềm do Sigstore cung cấp.
Wolfi OS là một bản phân phối rút gọn được thiết kế cho kỷ nguyên dựa trên đám mây. Nó không có nhân riêng mà phụ thuộc vào môi trường (chẳng hạn như thời gian chạy vùng chứa) để cung cấp nhân. Sự tách biệt các mối quan tâm này trong Wolfi có nghĩa là nó có thể thích ứng với nhiều cài đặt khác nhau.
Giới thiệu về hệ điều hành Wolfi
Trong kho lưu trữ của nó trên GitHub, chúng ta có thể thấy rằng:
Chainguard đã bắt đầu dự án Wolfi để cho phép tạo Chainguard Images, bộ sưu tập các hình ảnh không phân phối được tuyển chọn của chúng tôi đáp ứng các yêu cầu của chuỗi cung ứng phần mềm an toàn. Điều này yêu cầu một bản phân phối Linux với các thành phần ở mức độ chi tiết phù hợp và có hỗ trợ cho cả glibc và musl , một thứ chưa có trong hệ sinh thái Linux dựa trên đám mây.
Người ta cũng đề cập rằng Wolfi, cái tên được lấy cảm hứng từ bạch tuộc nhỏ nhất thế giới, có một số tính năng chính Điều gì làm cho nó khác biệt với các bản phân phối khác tập trung vào môi trường vùng chứa/đám mây gốc:
- Cung cấp SBOM thời gian biên dịch chất lượng cao làm tiêu chuẩn cho tất cả các gói
- Các gói được thiết kế chi tiết và khép kín, để hỗ trợ hình ảnh tối thiểu
- Sử dụng định dạng gói apk đã thử và đáng tin cậy
- Hệ thống xây dựng có thể khai báo và tái sản xuất đầy đủ
- Được thiết kế để hỗ trợ glibc và musl
điều đáng nói là Wolfi OS là một bản phân phối Linux thiết kế ngay từ khi bắt đầu, nghĩa là, nó không dựa trên bất kỳ bản phân phối hiện có nào khác và nhằm hỗ trợ các mô hình điện toán mới hơn, chẳng hạn như vùng chứa.
Mặc dù Wolfi có một số nguyên tắc thiết kế tương tự như Alpine (chẳng hạn như sử dụng apk), là một bản phân phối khác tập trung vào bảo mật chuỗi cung ứng. Không giống như Alpine, Wolfi hiện không xây dựng nhân Linux của riêng mình mà thay vào đó dựa vào môi trường máy chủ (ví dụ: thời gian chạy bộ chứa) để cung cấp nhân.
Và đối với người tạo ra Wolfi, tính bảo mật của chuỗi cung ứng phần mềm là duy nhất, vì ông đề cập rằng nó có nhiều kiểu tấn công khác nhau có thể nhắm vào nhiều điểm khác nhau trong vòng đời phần mềm. Bạn không thể lấy một phần mềm bảo mật, bật nó lên và bảo vệ mình khỏi mọi thứ.
“Chúng tôi coi Wolfi là bản chưa phân phối vì nó không phải là bản phân phối Linux đầy đủ được thiết kế để chạy trên kim loại trần, mà là bản phân phối rút gọn được thiết kế cho kỷ nguyên đám mây. Đáng chú ý nhất, chúng tôi đã không bao gồm nhân Linux mà thay vào đó dựa vào môi trường (chẳng hạn như thời gian chạy bộ chứa) để cung cấp nó,” Dan Lorenc, Giám đốc điều hành của Chainguard cho biết.
“Ngoài ra, bản thân các bản phân phối Linux thường chỉ phát hành các phiên bản phần mềm ổn định trong thời gian dài, trong khi các nhà phát triển cài đặt phần mềm (lại) thực hiện cài đặt thủ công để có phiên bản mới nhất hoặc gần đây nhất đã được vá lỗi. Kết quả là có sự khác biệt lớn giữa những gì máy quét có thể phát hiện thông qua CVE bảo mật chuỗi cung ứng phần mềm và những gì thực sự tồn tại trong môi trường điển hình.
Wolfi chụp những hình ảnh cập nhật liên tục về container cơ sở nhắm mục tiêu không có lỗ hổng đã biết, Để loại bỏ độ trễ này giữa các bản phân phối phổ biến và hình ảnh vùng chứa, và người dùng chạy hình ảnh có lỗ hổng đã biết. chó sói thu hẹp khoảng cách này đảm bảo rằng hình ảnh vùng chứa có thông tin xuất xứ (các hình ảnh đến từ đâu và đảm bảo chúng không bị giả mạo) và tạo ra SBOM điều gì đó có thể xảy ra trong quá trình xây dựng chứ không phải ở cuối.
cuối cùng nếu bạn là muốn biết thêm về nó về bản phát hành mới này, bạn có thể kiểm tra chi tiết trong liên kết sau.