Chainguard 发布了 Wolfi,一个 Linux 的“未发行版”
有许多专门为容器设计的 Linux 发行版。甚至微软也有一个,Common Base Linux (CBL)-Mariner。其他包括 Alpine Linux、Flatcar Container Linux、Red Hat Enterprise Linux CoreOS (RHCOS) 和 RancherOS。现在,云原生软件安全公司 Chainguard 对这种流行的云友好型 Linux 有了新的看法:Wolfi,一种“非分布式”。
我在都柏林举行的欧洲开源峰会上向 Chainguard 首席执行官兼创始人 Dan Lorenc 询问了他所说的“未分配”是什么意思香港服务器租用。他解释说:“我们称其为非分发版,因为这在技术上是正确的。在容器内部,除了 Linux 之外,您拥有一切,对吗?因此,即使它基于 Linux,但将其称为 Linux 分发版并不完全正确。”
也可以看看
如何在 Linux 上使用 Firefox 将网站作为应用程序打开
Linux 101:如何在 Linux 中创建 zip 文件
如何在 Linux 中使用 scp 命令
如何从命令行安装 Linux 应用程序
如何在 Chromebook 上启用 Linux(以及为什么要启用)
Lorenc 继续说,大多数人所说的 Linux 容器是“一个在硬件上启动并让您进入容器运行时的发行版。Alpine 可能是使用最频繁的此类发行版。Wolfi 与此相反。它是无发行版的。它是最小的甚至没有包管理器。”它足以运行您的容器化应用程序,仅此而已。
为了制作这个新的 Linux 变体,Lorenc 说:“我们聘请了一批最初的 Alpine 团队。但是,Alpine 从来都不是为容器设计的。它最初是为路由器、固件等设计的。韩国服务器租用是什么让它对容器是它的大小和安全性。”为了安全起见,Wolfi 将这种最小化的方法发挥到了极致。
另外:Linus Torvalds 说,Rust 将进入 Linux 6.1
Lorenc 解释说:“我们相信尽可能减少依赖关系,从而简化审核、更新和传输图像,并减少潜在的攻击面。Wolfi [以最小和最灵活的章鱼命名] 是从头开始设计的充分利用这些容器化环境,同时最大限度地提高安全性。”
Wolfi 所做的不仅仅是切除所有的脂肪来保护自己。它还带有内置的软件供应链安全措施。具体来说,主要特点是:
基于 Alpine 包 (APK) 格式
包具有适当的粒度和独立性以支持最小图像
随附适用于所有软件包的高质量、构建时软件材料清单 (SBOM)
完全声明性和可重现的构建系统
在实践中,Chainguard 的 distroless 镜像每天都会从上游资源中重建。图像通过签名和验证代码的标准 Sigstore 进行签名,并在 SBOM 中进行描述。可以验证此签名以表明该图像是您想要的图像并且没有任何篡改。
Chainguard 声称这些图像中的每个包默认情况下都是可重现的。换句话说,如果您自己从源代码构建包,您将获得相同的图像。软件工件的供应链级别(SLSA,发音为 salsa)也保证了这一点。这是一个源到服务的安全框架,用于通过防止未经授权的软件包更改来确保软件工件的完整性。
另外:Microsoft Azure CTO 表示,是时候停止在新项目中使用 C 和 C++了
所有这些签名、出处和 SBOM 都与图像一起存储在新的开放容器倡议 (OCI) 注册表中。然后,您可以使用 Sigstore 的 cosign 工具检查它们,这样您就可以信任这些图像。
具有讽刺意味的是,Lorenc 说:“通过使所有内容保持最新并最大限度地减少依赖项的数量,”Chainguard 使“代码安全扫描程序(如 grype、Snyk 和 trivy)报告的图像漏洞很少,美国服务器租用人们有时会认为“他们的扫描仪无法正常工作。但这种减少极大地减轻了负责调查和缓解潜在安全问题的团队的负担。”
除了 Wolfi,Chainguard 还在更新其 Chainguard 镜像,包括独立二进制文件的基础镜像、Nginx 等应用程序以及 Go 和 C 编译器等开发工具。
因此,如果您喜欢将最新代码和完整的供应链安全融入您的图像的想法,我强烈建议您尝试一下 Wolfi。您可以通过从 Wolfi GitHub 存储库中浏览和选择图像来做到这一点,它们带有操作文档,可以轻松集成到您现有的生产管道中。当然,您可以使用 cosign 工具检查安全签名和 SBOM。