Wolfi de Entrega de software mejorada protector de cadenaes una joven «no distribución» de Linux que está mejorando la cadena de suministro de software en la nube. ¿Podría su diseño innovador conducir también a nuevas soluciones para impulsar las distribuciones de escritorio?
En septiembre de 2022, los desarrolladores lanzaron Wolfi, la primera comunidad de Linux sin distribución diseñada para ofrecer minimalismo, actualizaciones rápidas y soluciones rápidas para vulnerabilidades y exposiciones comunes (CVE). Las vulnerabilidades del código de software facilitan que los piratas informáticos causen estragos en la seguridad informática en implementaciones en la nube y entornos locales.
CVE es una base de datos de problemas de seguridad de la información divulgados públicamente. La Autoridad de Numeración CVE (CNA) asigna números únicos para identificar puntos de intrusión. Su identificador universal facilita el intercambio de datos entre diferentes bibliotecas y herramientas de ciberseguridad, proporcionando una base para evaluar la cobertura de las herramientas de seguridad de una organización.
Los desarrolladores de Wolfi esperan que la combinación de estas características les ayude a proporcionar una capa base segura para los contenedores que contienen aplicaciones en el almacenamiento en la nube. Desde el lanzamiento de Wolfi, los mantenedores de Chainguard y los contribuyentes de la comunidad han estado decididos a crear software más seguro desde el principio y ayudar a los desarrolladores a abordar los desafíos de seguridad de la cadena de suministro de software.
Tabla de Contenidos
Diseño innovador para cargas de trabajo nativas de la nube
Wolfi adopta un enfoque novedoso centrado en la rápida adopción de la contenedorización y cargas de trabajo nativas de la nube. Un principio importante del diseño de Wolfi es priorizar la velocidad de actualización sobre la estabilidad.
Chainguard considera que las actualizaciones rápidas son responsabilidad de la distribución. Sus desarrolladores creen que los usuarios nunca tendrán que esperar a que una distribución lance una solución.
Según el ingeniero desarrollador de Chainguard, Adrian Mouat, el concepto de no distribución en el mundo de Linux se refiere al hecho de que carece de algunas características de otras distribuciones tradicionales de Linux. Lo más notable es que no existe un núcleo de Linux.
«La mayoría de las cargas de trabajo actuales se ejecutan en contenedores, y las distribuciones de Linux existentes se diseñaron para una era anterior. Este cambio hacia la ejecución de contenedores y el equilibrio de los nuevos riesgos de seguridad de la cadena de suministro ha llevado a problemas como la ejecución de vulnerabilidades conocidas. La única forma de resolver estos problemas es construir una distribución diseñada para entornos nativos de contenedores/nube, razón por la cual construimos Wolfi.
Obtenga mayor seguridad con imágenes en lugar de versiones
Para lograr este objetivo, Wolfi utiliza una cadencia de lanzamiento continua y no lanza versiones, solo paquetes que reciben actualizaciones de versión rápidamente. La compañía afirma que este enfoque garantiza que los usuarios de Wolfi tengan acceso a paquetes libres de vulnerabilidades lo más rápido posible.
Wolfi es un sistema operativo Linux comunitario diseñado para la era de los contenedores y la nube nativa. Chainguard lanzó Project Wolfi para crear Chainguard Images, su colección seleccionada de imágenes «sin distribución» para cumplir con los requisitos de la cadena de suministro de software segura.
Por supuesto, también existen otros productos llamados distroless. Por ejemplo, la imagen sin distribución de Google se crea con Bazel y se basa en la distribución Debian. Bazel es una herramienta de prueba y compilación de código abierto, similar a Make, Maven y Gradle, que utiliza un lenguaje de compilación de alto nivel legible por humanos.
Las imágenes de Chainguard se crean utilizando apko, una herramienta de línea de comandos que permite a los usuarios crear imágenes de contenedores utilizando un lenguaje declarativo escrito en YAML. El nombre apko proviene del formato de paquete APK, inspirado en la herramienta de compilación ko.
Distroless significa que el sistema contiene solo las dependencias necesarias para ejecutar una sola aplicación. Por ejemplo, un contenedor de Redis contiene sólo lo necesario para ejecutar Redis. Incluso carece de un shell y un administrador de paquetes.
«Esto contrasta marcadamente con las imágenes de contenedores tradicionales, que a menudo incluyen varias utilidades del sistema que no son necesarias para ejecutar la aplicación», añadió Mouat.
Cuando Chainguard lanzó Wolfi por primera vez, pretendía ser un proyecto impulsado por la comunidad que ganaría reconocimiento como la distribución más confiable para cargas de trabajo en contenedores, según la compañía. Espera que otros desarrolladores de software utilicen Wolfi para resolver muchos desafíos.
Diferencias y Diferencias
Wolfi es diferente de Chainguard Images. No son lo mismo digital, pero están estrechamente relacionados.
Wolfi es el nombre de la distribución de Linux de código abierto de la empresa. Las imágenes de Chainguard se construyen a partir del paquete de software Wolfi y tienen importantes ventajas, como actualizaciones y parches rápidos. Lista de materiales del software (SBOM) Sobre la construcción, aclaró Mouat.
Chainguard Images es una colección de imágenes de contenedores diseñadas para la seguridad y el minimalismo. Muchos de ellos no tienen distribución. La compañía ofrece una combinación de imágenes de desarrollo (o constructor) y sin distribución que son minimalistas e incluyen prueba de procedencia para mayor seguridad.
John Speed Meyers, director de Chainguard Labs de la empresa, ve a Wolfi como un conjunto de componentes básicos o paquetes que los desarrolladores pueden utilizar para crear software. Él ve Chainguard Images como contenedores construidos a partir de paquetes en Wolfi que realizan tareas relacionadas con contenedores.
«Dado que los contenedores se han vuelto tan populares en la computación en la nube, los contenedores construidos por Wolfi [like Chainguard Images] También es bueno para la computación en la nube convencional, al menos en lo que respecta a los contenedores», dijo a LinuxInsider.
Otra diferencia cercana es cómo se maneja la gestión de suites. Wolfi es una distribución de Linux de lanzamiento continuo sin la numeración de lanzamientos tradicional. Mouat dijo que es efectivamente el mismo modelo de ramificación perimetral en Alpine Linux utilizado en sistemas integrados y contenedores.
«El paquete de software Wolfi se deriva de lanzamientos de proyectos oficiales al igual que otras distribuciones. Es solo que tenemos más automatización y podemos lanzar versiones más rápido. Predigo que en el futuro veremos otras distribuciones que también aceleran el ritmo de lanzamiento de nuevas versiones de software. » dijo.
¿Por qué coexisten estos dos «casi similares»?
Chainguard se propuso crear su propia distribución de Linux para construir sus conocidas imágenes de contenedores CVE desde cero. Mouat dijo que los desarrolladores deben controlar la rapidez con la que se actualizan las aplicaciones para abordar las vulnerabilidades y emitir avisos de seguridad.
«La única manera de lograrlo es construir nuestra propia distribución de Linux para aumentar la velocidad», señaló.
Wolfi, al igual que Alpine, hace hincapié en la rápida aplicación de parches a los CVE. Explicó que los contenedores más populares están repletos de demasiado software, se actualizan con poca frecuencia y están llenos de paquetes con CVE.
Meyers añadió que Wolfi también ofrece otros beneficios de seguridad de la cadena de suministro de software, como listas de materiales para paquetes de software y arranque de paquetes de software críticos desde el origen.
La singularidad de Wolfi (a diferencia de Chainguard Images) está aumentando la solidez de la cadena de suministro de software en la nube, observó Ariadne Conill, cofundadora y directora de innovación de la empresa. Edrauna empresa de seguridad de contenedores.
«Wolfi es bastante único en el sentido de que se publica todo lo necesario para iniciar toda la distribución, junto con instrucciones sobre cómo usarlos para crear su propia versión independiente del conjunto de paquetes Wolfi», dijo a LinuxInsider.
Otro punto fuerte de Wolfi es la automatización que impulsa las actualizaciones de paquetes y correlaciona las actualizaciones automáticas de paquetes con información de corrección de vulnerabilidades. Otras distribuciones (como NixOS) han creado sus propias implementaciones de algunas de estas funciones.
«Pero hasta donde yo sé, Wolfi es la única distribución comercial con un modelo de lanzamiento continuo altamente automatizado», señala.
Una distribución de nueva era
La mayoría de las principales distribuciones de Linux de hoy en día fueron diseñadas originalmente para una época pasada, dijo Mouat. Originalmente fueron diseñados para funcionar directamente en los escritorios de las personas y en los bastidores de las salas de servidores.
«¡Soy lo suficientemente mayor como para recordar haber instalado Red Hat y Debian desde CD e incluso disquetes! Luego pasaron a máquinas virtuales prácticamente ilesos, pero en el entorno actual dominado por contenedores creo que están empezando a crujir», bromeó.
Mouat dijo que Wolfi demostró cómo repensar las distribuciones de Linux, enfocándose en cómo los paquetes de software pequeños y modulares que se actualizan con frecuencia pueden beneficiar a las organizaciones que ejecutan cargas de trabajo en contenedores.
Hablando sobre el futuro de las distribuciones de Linux, concluyó: «Creo que vamos a ver cada vez más movimientos por parte de las principales distribuciones para intentar incorporar estas ventajas a sus productos».