Existem muitas distribuições Linux projetadas expressamente para contêineres. Até a Microsoft tem uma, Common Base Linux (CBL)-Mariner. Outros incluem Alpine Linux, Flatcar Container Linux, Red Hat Enterprise Linux CoreOS ( RHCOS ) e RancherOS. Agora , a Chainguard, uma empresa de segurança de software nativa da nuvem, tem uma nova visão sobre esse tipo popular de Linux amigável à nuvem: Wolfi.
O CEO e fundador da Chainguard, Dan Lorenc, no Open Source Summit Europe, em Dublin, o que ele queria dizer com “não distribuição”. Ele explicou: “Nós chamamos isso de não distribuição porque isso é tecnicamente correto. Dentro de um contêiner, você tem tudo, menos Linux, certo? Então, mesmo que seja baseado em Linux, não é realmente correto chamá-lo de distribuição Linux.”
O que a maioria das pessoas chama de contêiner Linux, Lorenc continuou, é “uma distribuição que inicializa no hardware e leva você a um tempo de execução do contêiner. Alpine é provavelmente a distribuição mais usada. Wolfi é o oposto disso. É sem distribuição. É mínimo a ponto de nem ter um gerenciador de pacotes.” Ele tem apenas o suficiente para executar seu aplicativo em contêiner, e é isso.
Para fazer essa nova variante do Linux, Lorenc disse: “Contratamos vários membros da equipe original da Alpine. Porém, a Alpine nunca foi projetada para contêineres. Ela foi originalmente projetada para roteadores, firmware e esse tipo de coisa. O que a tornou atraente para contêineres era seu tamanho e segurança.” Wolfi leva essa abordagem mínima ao extremo por uma questão de segurança.
Chainguard lança distribuição Linux Wolfi
Lorenc explicou: “Acreditamos em minimizar dependências tanto quanto possível, o que simplifica a auditoria, atualização e transferência de imagens, bem como reduz a superfície de ataque potencial. Wolfi [nomeado para o polvo menor e mais flexível] foi projetado desde o início para tirar o máximo proveito desses ambientes em contêineres enquanto maximiza a segurança.”
Wolfi faz mais do que apenas cortar toda a gordura para se proteger. Ele também vem com medidas de segurança da cadeia de suprimentos de software integradas. Especificamente, os principais recursos são:
- Baseado no formato Alpine Package (APK);
- Os pacotes são de granularidade e independência apropriadas para suportar imagens mínimas;
- Vem com uma lista de materiais de software (SBOM) de alta qualidade e tempo de construção para todos os pacotes;
- Sistema de compilação totalmente declarativo e reproduzível.
Notícias Relacionadas
Mais detalhes sobre a distribuição
Na prática, as imagens distroless do Chainguard são reconstruídas diariamente a partir de fontes upstream. As imagens são assinadas via Sigstore, o padrão para assinatura e verificação de código, e descritas em um SBOM. Esta assinatura pode ser verificada para mostrar que a imagem é a que você queria e está livre de qualquer adulteração.
Chainguard afirma que cada pacote nessas imagens é reproduzível por padrão. Em outras palavras, você obterá a mesma imagem se você mesmo criar o pacote a partir do código-fonte. Isso também é garantido pelos Níveis da Cadeia de Suprimentos para Artefatos de Software (SLSA, salsa pronunciado). Essa é uma estrutura de segurança da origem ao serviço para garantir a integridade dos artefatos de software, protegendo contra alterações não autorizadas do pacote de software.
Todas essas assinaturas, proveniências e SBOMs são armazenadas em um novo registro Open Container Initiative (OCI) ao lado das imagens. Você pode verificá-los com as ferramentas de cosign da Sigstore para que possa confiar nas imagens.
Ironicamente, Lorenc disse:
“Ao manter tudo atualizado e minimizar o número de dependências”, a Chainguard faz com que “scanners de segurança de código como grype, Snyk e trivy relatem tão poucas vulnerabilidades para nossas imagens, as pessoas às vezes pensam seus scanners não estão funcionando. Mas essa redução reduz drasticamente a carga sobre as equipes responsáveis por investigar e mitigar possíveis problemas de segurança.”
Além de Wolfi, a Chainguard está atualizando suas imagens Chainguard, incluindo imagens de base para binários autônomos, aplicativos como Nginx e ferramentas de desenvolvimento, como seus compiladores Go e C.
Portanto, se você gosta da ideia de ter o código mais recente e a segurança completa da cadeia de suprimentos incorporada em suas imagens, sugiro fortemente que você experimente o Wolfi. Você pode fazer isso navegando e selecionando imagens do repositório Wolfi GitHub.
Elas vêm com documentação de instruções e podem ser integradas facilmente em seus pipelines de produção existentes. E, claro, você pode verificar a assinatura de segurança e SBOMs com a ferramenta cosign.
