Поиск по сайту:

Chainguard выпускает Wolfi, «недистрибутив» Linux

Chainguard использует новый подход к созданию контейнера Linux со всей необходимой вам безопасностью.

Существует множество дистрибутивов Linux, разработанных специально для контейнеров. Даже у Microsoft есть один — Common Base Linux (CBL)-Mariner. Другие включают Alpine Linux, Flatcar Container Linux, Red Hat Enterprise Linux CoreOS (RHCOS) и RancherOS. Теперь Chainguard, компания, занимающаяся безопасностью облачного программного обеспечения, предлагает новый взгляд на этот популярный облачный вариант Linux: Wolfi, «нераспространение».

Я спросил генерального директора и основателя Chainguard Дэна Лоренка на европейском саммите Open Source в Дублине, что он подразумевает под «отказом от распространения». Он объяснил: «Мы называем это отказом от дистрибутива, потому что это технически правильно. Внутри контейнера есть все, кроме Linux, верно? Так что, хотя он и основан на Linux, называть его дистрибутивом Linux не совсем правильно».

То, что большинство людей называют контейнером Linux, продолжает Лоренц, — это «дистрибутив, который загружается на оборудовании и переносит вас в среду выполнения контейнера. Alpine, вероятно, наиболее часто используемый такой дистрибутив. Wolfi — противоположность этому. Он не требует дистрибутива. Он минимален. вплоть до отсутствия даже менеджера пакетов». Его достаточно для запуска вашего контейнерного приложения, и все.

Чтобы создать этот новый вариант Linux, Лоренц сказал: «Мы наняли группу первоначальных сотрудников Alpine. Но Alpine никогда не предназначался для контейнеров. Первоначально он был разработан для маршрутизаторов, встроенного ПО и тому подобного. Что делало его привлекательным для Контейнеры были их размером и безопасностью». Вольфи доводит этот минимальный подход до крайности ради безопасности.

Лоренц объяснил: «Мы верим в максимально возможное минимизацию зависимостей, что упрощает аудит, обновление и передачу изображений, а также уменьшает потенциальную поверхность атаки. Wolfi [названный в честь самого маленького и самого гибкого осьминога] разработан с нуля. чтобы в полной мере воспользоваться преимуществами этих контейнерных сред, обеспечивая при этом максимальную безопасность».

Вольфи делает больше, чем просто вырезает весь жир, чтобы обезопасить себя. Он также оснащен встроенными мерами безопасности цепочки поставок программного обеспечения. В частности, ключевыми особенностями являются:

  • На основе формата Alpine Package (APK).
  • Пакеты имеют соответствующую степень детализации и независимости для поддержки минимальных изображений.
  • Поставляется с высококачественной спецификацией программного обеспечения (SBOM) во время сборки для всех пакетов.
  • Полностью декларативная и воспроизводимая система сборки.

На практике образы Chainguard без дистрибутива ежедневно перестраиваются из исходных источников. Изображения подписываются через Sigstore, стандарт для подписи и проверки кода, и описываются в SBOM. Эту подпись можно проверить, чтобы показать, что изображение именно то, что вы хотели, и что оно не было подделано.

Chainguard утверждает, что каждый пакет на этих изображениях воспроизводится по умолчанию. Другими словами, вы получите тот же образ, если сами соберете пакет из исходного кода. Это также гарантируется Уровнями цепочки поставок для программных артефактов (SLSA, произносится как сальса). Это платформа безопасности от источника к службе, обеспечивающая целостность программных артефактов путем защиты от несанкционированных изменений программного пакета.

Все эти подписи, происхождение и SBOM хранятся в новом реестре Open Container Initiative (OCI) вместе с изображениями. Затем вы можете проверить их с помощью инструментов совместной подписи Sigstore, чтобы можно было доверять изображениям.

По иронии судьбы, Лоренц сказал: «Поддерживая все в актуальном состоянии и минимизируя количество зависимостей», Chainguard делает так, что «сканеры безопасности кода, такие как grype, Snyk и trivy, сообщают о столь небольшом количестве уязвимостей для наших изображений, что люди иногда думают их сканеры не работают. Но это сокращение значительно снижает нагрузку на команды, ответственные за расследование и устранение потенциальных проблем безопасности».

Помимо Wolfi, Chainguard обновляет свои образы Chainguard, включая базовые образы для автономных двоичных файлов, таких приложений, как Nginx, и инструментов разработки, таких как компиляторы Go и C.

Итак, если вам нравится идея внедрения в ваши изображения новейшего кода и полной безопасности цепочки поставок, я настоятельно рекомендую вам попробовать Wolfi. Вы можете сделать это, просматривая и выбирая изображения из репозитория Wolfi GitHub. Они поставляются с практической документацией и могут быть легко интегрированы в существующие производственные конвейеры. И, конечно же, вы можете проверить подпись безопасности и SBOM с помощью инструмента cosign.

Статьи по данной тематике