Wolfi 是一个轻量级的 GNU 软件发行版,围绕极简主义设计,使其适用于容器化环境。
如果您是经常使用容器的人之一,我建议您阅读以下文章,我们将讨论 Wolfi OS,这是一个新的社区 Linux 发行版,结合了现有容器基础映像的最佳方面和默认安全措施它们将包括 Sigstore 支持的软件签名、出处和软件 BOM。
Wolfi OS 是专为云原生时代设计的精简发行版。 它没有自己的内核,而是依赖于环境(例如容器运行时)来提供内核。 Wolfi 中的这种关注点分离意味着它可以适应各种设置。
关于沃尔菲操作系统
在其 GitHub 上的存储库中,我们可以找到:
Chainguard 启动了 Wolfi 项目以创建 Chainguard Images,这是我们精心挑选的免分发图像集合,可满足安全软件供应链的要求。 这需要一个 Linux 发行版,其组件具有适当的粒度并支持 glibc 和 musl ,这在云原生 Linux 生态系统中尚不可用。
还提到了 Wolfi,其名字的灵感来自于 世界上最小的章鱼, 有一些关键特征 它与其他专注于云原生/容器环境的发行版有何不同:
- 提供高质量的编译时 SBOM 作为所有包的标准
- 包被设计成颗粒状和独立的,以支持最小的图像
- 使用久经考验的 apk 包格式
- 完全声明和可复制的构建系统
- 旨在支持 glibc 和 musl
值得一提的是 Wolfi OS 是一个 Linux 发行版 设计的 从一开始,也就是说,它不基于任何其他现有分布,旨在支持更新的计算范例,例如容器。
虽然沃尔夫 与 Alpine 有一些相似的设计原则 (例如使用 apk),是一个不同的发行版,专注于供应链安全。 与 Alpine 不同,Wolfi 目前不构建自己的 Linux 内核,而是依赖宿主环境(例如,容器运行时)来提供内核。
对于 Wolfi 的创建者来说,软件供应链的安全性是独一无二的,因为他提到它有许多不同类型的攻击,可以针对软件生命周期中的许多不同点。 您不能只拿一个安全软件,打开它,然后保护自己免受一切侵害。
“我们将 Wolfi 称为 undistro,因为它不是设计用于在裸机上运行的完整 Linux 发行版,而是专为云原生时代设计的精简发行版。 最值得注意的是,我们没有包含 Linux 内核,而是依靠环境(例如容器运行时)来提供它,”Chainguard 首席执行官 Dan Lorenc 说。
“此外,Linux 发行版本身通常只在很长一段时间内发布稳定版本的软件,而安装软件的开发人员(再次)进行手动安装以获得最新的或最新版本的补丁。 因此,扫描器可以通过软件供应链安全 CVE 检测到的内容与典型环境中实际存在的内容之间存在巨大的脱节。
Wolfi 不断更新基础容器的图像 以零已知漏洞为目标, 为了消除公共发行版和容器镜像之间的这种延迟, 以及运行具有已知漏洞的图像的用户。 沃尔夫 缩小差距 确保 容器镜像有来源信息 (图像的来源并确保它们不被篡改)并使 SBOM 生成可以在构建过程中发生,而不是在结束时发生。
最后,如果你是 有兴趣了解更多 关于此新版本,您可以在 以下链接。