Wolfi OS: una distro pensada para contenedores y la cadena de suministro
Si eres de aquellos que trabaja bastante con contenedores, puedo recomendarte la lectura del siguiente articulo donde hablaremos sobre Wolfi OS, la cual es una nueva distribución comunitaria de Linux que combina los mejores aspectos de las imágenes base de contenedores existentes con medidas de seguridad predeterminadas que incluirán firmas de software impulsadas por Sigstore, procedencia y listas de materiales de software.
Wolfi OS es una distribución simplificada diseñada para la era nativa de la nube. No tiene un núcleo propio, sino que depende del entorno (como el tiempo de ejecución del contenedor) para proporcionar uno. Esta separación de preocupaciones en Wolfi significa que es adaptable a una variedad de entornos.
Sobre Wolfi OS
En su repositorio en GitHub podremos encontrar que:
Chainguard inició el proyecto Wolfi para permitir la creación de Chainguard Images , nuestra colección de imágenes sin distribución seleccionadas que cumplen con los requisitos de una cadena de suministro de software segura. Esto requería una distribución de Linux con componentes en la granularidad adecuada y con soporte tanto para glibc como para musl , algo que aún no estaba disponible en el ecosistema de Linux nativo de la nube.
Ademas se menciona que Wolfi, cuyo nombre se inspiró en el pulpo más pequeño del mundo, tiene algunas características clave que lo diferencian de otras distribuciones que se enfocan en entornos nativos de nube/contenedores:
- Proporciona un SBOM de tiempo de compilación de alta calidad como estándar para todos los paquetes
- Los paquetes están diseñados para ser granulares e independientes, para admitir imágenes mínimas
- Utiliza el formato de paquete apk probado y confiable
- Sistema de compilación totalmente declarativo y reproducible
- Diseñado para soportar glibc y musl
Cabe mencionar que Wolfi OS es una distribución de Linux diseñada desde cero, es decir no se basa en ningun otra distribucion existente y tiene la finalidad de admitir paradigmas informáticos más nuevos, como los contenedores.
Aunque Wolfi tiene algunos principios de diseño similares a los de Alpine (como el uso de apk), es una distribución diferente que se enfoca en la seguridad de la cadena de suministro. A diferencia de Alpine, Wolfi actualmente no crea su propio kernel de Linux, sino que confía en el entorno del host (por ejemplo, un tiempo de ejecución de contenedor) para proporcionar uno.
Y es que para el creador de Wolfi la seguridad de la cadena de suministro de software es única, ya que menciona que tiene muchos tipos diferentes de ataques que pueden apuntar a muchos puntos diferentes en el ciclo de vida del software. No puede simplemente tomar una pieza de software de seguridad, encenderla y protegerse de todo.
“Nos referimos a Wolfi como un u ndistro porque no es una distribución completa de Linux diseñada para ejecutarse en bare-metal, sino una distribución simplificada diseñada para la era nativa de la nube. Lo más notable es que no incluimos un kernel de Linux, sino que confiamos en el entorno (como el tiempo de ejecución del contenedor) para proporcionarlo”, dijo Dan Lorenc, director ejecutivo de Chainguard.
“Además, las distribuciones de Linux en sí mismas normalmente solo distribuyen versiones estables de software durante largos períodos de tiempo, mientras que los desarrolladores que instalan software están (nuevamente) haciendo instalaciones manuales para obtener las últimas versiones, o la mayoría de las versiones recién parcheadas. Como resultado, existe una gran desconexión entre lo que los escáneres pueden detectar a través de CVE de seguridad de la cadena de suministro de software y lo que realmente existe en el entorno típico.
Wolfi toma imágenes de contenedores base constantemente actualizadas que apuntan a vulnerabilidades conocidas cero, para eliminar este retraso entre las distribuciones comunes y las imágenes de contenedores, y los usuarios que ejecutan imágenes con vulnerabilidades conocidas. Wolfi cierra esta brecha asegurándose de que las imágenes del contenedor tengan información de procedencia (de dónde provienen las imágenes y asegurándose de que no se alteren) y hace que la generación de SBOM sea algo que puede suceder durante el proceso de construcción, y no al final.
Finalmente si estás interesado en poder conocer más al respecto sobre este nuevo lanzamiento, puedes consultar los detalles en el siguiente enlace.