如果您是經常使用容器的人之一,我建議您閱讀以下文章,我們將討論 Wolfi OS,這是一個新的社區 Linux 發行版,結合了現有容器基礎映像的最佳方面和默認安全措施它們將包括 Sigstore 支持的軟件簽名、出處和軟件 BOM。
Wolfi OS 是專為雲原生時代設計的精簡發行版。 它沒有自己的內核,而是依賴於環境(例如容器運行時)來提供內核。 Wolfi 中的這種關注點分離意味著它可以適應各種設置。
關於沃爾菲操作系統
在其 GitHub 上的存儲庫中,我們可以找到:
Chainguard 啟動了 Wolfi 項目以創建 Chainguard Images,這是我們精心挑選的免分發圖像集合,可滿足安全軟件供應鏈的要求。 這需要一個 Linux 發行版,其組件具有適當的粒度並支持 glibc 和 musl ,這在雲原生 Linux 生態系統中尚不可用。
還提到了 Wolfi,其名字的靈感來自於 世界上最小的章魚, 有一些關鍵特徵 它與其他專注於雲原生/容器環境的發行版有何不同:
- 提供高質量的編譯時 SBOM 作為所有包的標準
- 包被設計成顆粒狀和獨立的,以支持最小的圖像
- 使用久經考驗的 apk 包格式
- 完全聲明和可複制的構建系統
- 旨在支持 glibc 和 musl
值得一提的是 Wolfi OS 是一個 Linux 發行版 設計的 從一開始,也就是說,它不基於任何其他現有分佈,旨在支持更新的計算範例,例如容器。
雖然沃爾夫 與 Alpine 有一些相似的設計原則 (例如使用 apk),是一個不同的發行版,專注於供應鏈安全。 與 Alpine 不同,Wolfi 目前不構建自己的 Linux 內核,而是依賴宿主環境(例如,容器運行時)來提供內核。
對於 Wolfi 的創建者來說,軟件供應鏈的安全性是獨一無二的,因為他提到它有許多不同類型的攻擊,可以針對軟件生命週期中的許多不同點。 您不能只拿一個安全軟件,打開它,然後保護自己免受一切侵害。
“我們將 Wolfi 稱為 undistro,因為它不是設計用於在裸機上運行的完整 Linux 發行版,而是專為雲原生時代設計的精簡發行版。 最值得注意的是,我們沒有包含 Linux 內核,而是依靠環境(例如容器運行時)來提供它,”Chainguard 首席執行官 Dan Lorenc 說。
“此外,Linux 發行版本身通常只在很長一段時間內發布穩定版本的軟件,而安裝軟件的開發人員(再次)進行手動安裝以獲得最新的或最新版本的補丁。 因此,掃描器可以通過軟件供應鏈安全 CVE 檢測到的內容與典型環境中實際存在的內容之間存在巨大的脫節。
Wolfi 不斷更新基礎容器的圖像 以零已知漏洞為目標, 為了消除公共發行版和容器鏡像之間的這種延遲, 以及運行具有已知漏洞的圖像的用戶。 沃爾夫 縮小差距 確保 容器鏡像有來源信息 (圖像的來源並確保它們不被篡改)並使 SBOM 生成可以在構建過程中發生,而不是在結束時發生。
最後,如果你是 有興趣了解更多 關於此新版本,您可以在 以下鏈接。