Wolfi es una nueva distribución comunitaria de Linux que combina los mejores aspectos de las imágenes base de los contenedores existentes con medidas de seguridad por defecto que incluirán firmas de software impulsadas por Sigstore, procedencia y listas de materiales de software (SBOM).
Sistema operativo Wolfi
Wolfi es un sistema operativo Linux comunitario diseñado para la era de los contenedores y la nube nativa. Chainguard comenzó el proyecto Wolfi para permitir la construcción de Chainguard Images, nuestra colección de imágenes curadas sin distribución que cumplen con los requisitos de una cadena de suministro de software seguro. Esto requería una distribución de Linux con componentes en la granularidad adecuada y con soporte para glibc y musl, algo que todavía no estaba disponible en el ecosistema de Linux nativo de la nube.
Wolfi es una distro despojada diseñada para la era de la nube nativa. No tiene un núcleo propio, sino que confía en el entorno (como el tiempo de ejecución del contenedor) para proporcionar uno. Esta separación de preocupaciones en Wolfi significa que es adaptable a una gama de entornos.
Seguridad de la cadena de suministro de software
La seguridad de la cadena de suministro de software es única: hay muchos tipos de ataques diferentes que pueden dirigirse a muchos puntos distintos del ciclo de vida del software. No se puede tomar un solo software de seguridad, activarlo y estar protegido de todo.
La presión del ecosistema por la integridad y la transparencia de la cadena de suministro del software ha hecho que las organizaciones se esfuercen por incorporar medidas de seguridad del software como firmas, procedencia y SBOM en los sistemas heredados y en las distribuciones de Linux existentes.
Recientemente, las agencias de seguridad más prestigiosas de EE.UU. (NSA, CISA y ODNI) intentaron sumarse a la conversación y publicaron una guía de prácticas recomendadas de más de 60 páginas, Securing the Software Supply Chain for Developers.
Puede empezar a probarlo descargando desde: https://github.com/wolfi-dev
Características de Wolfi Linux
Wolfi, la nueva cadena de herramientas de construcción y distribución de Linux de Chainguard, está diseñada desde cero para producir imágenes de contenedores que cumplan los requisitos de una cadena de suministro de software segura.
"Nos referimos a Wolfi como una undistro porque no es una distribución de Linux completa diseñada para ejecutarse en bare-metal, sino una despojada diseñada para la era nativa de la nube. En particular, no incluimos un núcleo de Linux, sino que confiamos en el entorno (como el tiempo de ejecución del contenedor) para proporcionarlo", dijo Dan Lorenc, director general de Chainguard.
Las características clave de Wolfi son:
- Proporciona un SBOM en tiempo de compilación como estándar para todos los paquetes
- Los paquetes están diseñados para ser granulares e independientes, para soportar imágenes mínimas
- Utiliza el probado y fiable formato de paquete APK
- Sistema de construcción declarativo y reproducible
- Diseñado para soportar glibc y musl
"Los vendedores de SCA quieren hacer creer al mercado que las vulnerabilidades de la cadena de suministro de software se encuentran entre la clase normal de CVEs que se pueden detectar mediante el escaneo de paquetes y distribuciones de software. Pero la mayoría de los escáneres utilizan bases de datos de paquetes para ver qué paquetes están instalados dentro de los contenedores, y gran parte del software actual se instala manualmente, en lugar de a través de gestores de paquetes. Además, las propias distribuciones de Linux normalmente sólo distribuyen versiones estables de software durante largos periodos de tiempo, mientras que los desarrolladores que instalan software están (de nuevo) haciendo instalaciones manuales para obtener las últimas versiones, o las versiones más recientes parcheadas. Como resultado, hay una enorme desconexión entre lo que los escáneres son capaces de detectar por medio de los CVE de seguridad de la cadena de suministro de software, y lo que realmente existe en el entorno típico. Wolfi es un nuevo undistro que está tomando imágenes base de contenedores constantemente actualizadas que apuntan a cero vulnerabilidades conocidas, para eliminar este desfase entre las distribuciones comunes y las imágenes de contenedores, y los usuarios que ejecutan imágenes con vulnerabilidades conocidas. Wolfi cierra esta brecha asegurándose de que las imágenes de contenedor tienen información de procedencia (de dónde vienen las imágenes, y asegurándose de que no son manipuladas), y hace que la generación de SBOM sea algo que puede ocurrir durante el proceso de construcción, y no al final", dijo Lorenc a Help Net Security.
Más noticias sobre el tema:
Tidelift : ha recaudado efectivo para asegurar la cadena de suministro de código abierto