Chainguard Wolfi را منتشر کرد، یک “undistribution” لینوکس


تجسم منبع باز با نمادها و اشاره دست

رایت استودیو / شاتر استوک

توزیع‌های لینوکس زیادی وجود دارند که به صراحت برای کانتینرها طراحی شده‌اند. حتی مایکروسافت هم یکی داره Common Base Linux (CBL) -Mariner. دیگران شامل آلپاین لینوکس، Flatcar Container Linux، Red Hat Enterprise Linux CoreOS (RHCOS)، و سیستم عامل Rancher. اکنون نگهبان زنجیر، یک شرکت امنیت نرم افزاری بومی ابری، برداشت جدیدی از این نوع محبوب لینوکس سازگار با ابر دارد: Wolfi، یک “undistribution”.

من از مدیر عامل و بنیانگذار Chainguard، Dan Lorenc در اجلاس سران متن باز اروپا در دوبلین منظور او از «توزیع نشدن» چیست. او توضیح داد: “ما آن را undistribution می نامیم زیرا از نظر فنی درست است. در داخل یک کانتینر، همه چیز به جز لینوکس دارید، درست است؟ بنابراین، حتی اگر مبتنی بر لینوکس باشد، واقعاً درست نیست که آن را توزیع لینوکس بنامیم.”

لورنک ادامه داد: چیزی که اکثر مردم آن را یک کانتینر لینوکس می نامند، “یک توزیع است که روی سخت افزار راه اندازی می شود و شما را به زمان اجرای کانتینر می رساند. Alpine احتمالاً پر استفاده ترین توزیع از این نوع است. Wolfi برعکس این است. بدون توزیع است. حداقل است. تا جایی که حتی یک مدیر بسته هم نداشته باشیم.” این فقط به اندازه کافی برای اجرای برنامه کانتینری شما وجود دارد، و تمام.

برای ساخت این نوع جدید لینوکس، لورنک گفت: “ما گروهی از تیم اصلی Alpine را استخدام کردیم. اما Alpine هرگز برای کانتینرها طراحی نشده بود. در ابتدا برای روترها، سیستم عامل و چیزهایی از این دست طراحی شده بود. چه چیزی باعث جذابیت آن شد. ظروف اندازه و امنیت آن بود.” ولفی به خاطر امنیت، این رویکرد حداقلی را تا حدی افراطی پیش می‌برد.

همچنین: لینوس توروالدز می گوید که Rust وارد لینوکس 6.1 می شود

لورنک توضیح داد: “ما معتقدیم که وابستگی ها را تا حد ممکن به حداقل برسانیم، که ممیزی، به روز رسانی، و انتقال تصاویر را ساده می کند، و همچنین سطح حمله احتمالی را کاهش می دهد. Wolfi [named for the smallest and most flexible octopus] از ابتدا به گونه ای طراحی شده است که از مزایای کامل این محیط های کانتینری و در عین حال به حداکثر رساندن امنیت استفاده کند.”

Wolfi کاری بیش از بریدن تمام چربی ها برای حفظ امنیت خود انجام می دهد. همچنین با اقدامات امنیتی زنجیره تامین نرم افزار داخلی همراه است. به طور خاص، ویژگی های کلیدی عبارتند از:

  • بر اساس بسته آلپاین (APK) قالب
  • بسته ها دارای دانه بندی و استقلال مناسبی برای پشتیبانی از حداقل تصاویر هستند
  • همراه با صورتحساب مواد نرم افزاری با کیفیت بالا و زمان ساخت (SBOM) برای همه بسته ها
  • سیستم ساخت کاملاً اعلامی و قابل تکرار

در عمل، تصاویر بدون توزیع Chainguard هر روز از منابع بالادستی بازسازی می‌شوند. امضای تصاویر از طریق Sigstore، استاندارد امضا و تأیید کد، و در یک SBOM توضیح داده شده است. این امضا را می توان تأیید کرد تا نشان دهد که تصویر همان چیزی است که می خواهید و عاری از هرگونه دستکاری است.

Chainguard ادعا می کند که تک تک بسته های موجود در این تصاویر به طور پیش فرض قابل تکرار هستند. به عبارت دیگر، اگر بسته را خودتان از روی کد منبع بسازید، همان تصویر را دریافت خواهید کرد. این نیز توسط سطوح زنجیره تامین برای مصنوعات نرم افزاری (SLSA، تلفظ سالسا) تضمین شده است. این یک چارچوب امنیتی منبع به سرویس برای اطمینان از یکپارچگی مصنوعات نرم افزار با محافظت در برابر تغییرات غیرمجاز بسته نرم افزاری است.

همچنین: مایکروسافت Azure CTO می گوید زمان آن رسیده است که استفاده از C و C++ را برای پروژه های جدید متوقف کنیم

همه این امضاها، منشأ، و SBOM ها در یک جدید ذخیره می شوند طرح کانتینر باز (OCI) رجیستری در کنار تصاویر سپس می توانید آنها را با Sigstore’s بررسی کنید علامت گذاری کنید ابزارها تا بتوانید به تصاویر اعتماد کنید.

از قضا، لورنک گفت: “با به روز نگه داشتن همه چیز و به حداقل رساندن تعداد وابستگی ها”، Chainguard باعث می شود که “اسکنرهای امنیتی کد مانند گریپ، اسنیک، و چیزهای بی اهمیت آسیب‌پذیری‌های کمی را برای تصاویر ما گزارش کنید، مردم گاهی فکر می‌کنند اسکنرهایشان کار نمی‌کند. اما این کاهش به‌طور چشمگیری بار تیم‌های مسئول بررسی و کاهش مسائل امنیتی احتمالی را کاهش می‌دهد.»

علاوه بر Wolfi، Chainguard در حال به روز رسانی آن است تصاویر محافظ زنجیر، شامل تصاویر پایه برای باینری های مستقل، برنامه هایی مانند Nginxو ابزارهای توسعه مانند آن برو و سی کامپایلرها

بنابراین، اگر از ایده داشتن جدیدترین کد و امنیت کامل زنجیره تامین در تصاویر خود خوشتان می آید، اکیداً پیشنهاد می کنم Wolfi را امتحان کنید. شما می توانید این کار را با مرور و انتخاب تصاویر از آن انجام دهید مخزن Wolfi GitHub، آنها با مستندات نحوه ارائه هستند و می توانند به راحتی در خطوط لوله تولید فعلی شما ادغام شوند. و البته، می توانید امضای امنیتی و SBOM ها را با آن بررسی کنید علامت گذاری کنید ابزار

داستان های مرتبط:


منبع: https://www.zdnet.com/article/chainguard-releases-wolfi-a-linux-undistribution/#ftag=RSSbaffb68