O Wolfi OS, é uma distro projetada para contêineres e supply chain. Conheça mais um pouco sobre ela e descubra onde baixa-la.
Sim. Wolfi é uma distribuição leve de software GNU projetada em torno do minimalismo, tornando-a adequada para ambientes em contêineres.
Wolfi OS, uma distro projetada para contêineres e supply chain
Se você é daqueles que trabalha muito com containers, recomendo a leitura do seguinte artigo onde falaremos sobre o Wolfi OS, que é uma nova distribuição Linux comunitária que combina os melhores aspectos das imagens base de containers existentes com medidas de segurança padrão que eles incluirão assinaturas de software da Sigstore, proveniência e BOMs de software.
O Wolfi OS é uma distribuição simplificada projetada para a era nativa da nuvem. Ele não possui um kernel próprio, mas depende do ambiente (como o tempo de execução do contêiner) para fornecer um.
Essa separação de preocupações em Wolfi significa que ele é adaptável a uma variedade de configurações.
Em seu repositório no GitHub podemos encontrar que:
“Chainguard iniciou o projeto Wolfi para permitir a criação de Chainguard Images, nossa coleção de imagens curadas sem distribuição que atendem aos requisitos de uma cadeia de suprimentos de software segura. Isso exigia uma distribuição Linux com componentes na granularidade adequada e com suporte para glibc e musl, algo ainda não disponível no ecossistema Linux nativo da nuvem.”
É ainda mencionado que Wolfi, cujo nome foi inspirado no menor polvo do mundo, possui alguns recursos importantes que o diferenciam de outras distribuições que se concentram em ambientes nativos de nuvem/contêiner:
- Fornece um SBOM de tempo de compilação de alta qualidade como padrão para todos os pacotes
- Os pacotes são projetados para serem granulares e independentes, para suportar imagens mínimas
- Usa o formato de pacote apk testado e confiável
- Sistema de compilação totalmente declarativo e reproduzível
- Projetado para suportar glibc e musl
Vale ressaltar que o Wolfi OS é uma distribuição Linux independente, ou seja, não se baseia em nenhuma outra distribuição existente e destina-se a suportar novos paradigmas de computação, como containers.
Embora Wolfi tenha alguns princípios de design semelhantes ao Alpine (como o uso de apk), é uma distro diferente que se concentra na segurança da cadeia de suprimentos.
Ao contrário da Alpine, a Wolfi atualmente não constrói seu próprio kernel do Linux, mas depende do ambiente do host (por exemplo, um tempo de execução de contêiner) para fornecer um.
E é que, para o criador de Wolfi, a segurança da cadeia de suprimentos de software é única, pois ele menciona que ela possui muitos tipos diferentes de ataques que podem atingir muitos pontos diferentes no ciclo de vida do software.
Você não pode simplesmente pegar um software de segurança, ligá-lo e se proteger de tudo.
Dan Lorenc, CEO da Chainguard, disse que:
“Nos referimos ao Wolfi como undistro porque não é uma distribuição Linux completa projetada para rodar em bare-metal, mas sim uma distribuição simplificada projetada para a era nativa da nuvem. Mais notavelmente, não incluímos um kernel do Linux, mas, em vez disso, contamos com o ambiente (como o tempo de execução do contêiner) para fornecê-lo.”
“Além disso, as próprias distribuições do Linux geralmente lançam apenas versões estáveis de software por longos períodos de tempo, enquanto os desenvolvedores que instalam software estão (novamente) fazendo instalações manuais para obter as versões mais recentes ou mais recentes. Como resultado, há uma grande desconexão entre o que os scanners podem detectar por meio de CVEs de segurança da cadeia de suprimentos de software e o que realmente existe no ambiente típico.”
Wolfi obtém imagens de contêiner de base constantemente atualizadas que visam zero vulnerabilidades conhecidas, para eliminar esse atraso entre distribuições comuns e imagens de contêiner e usuários executando imagens com vulnerabilidades conhecidas.
A Wolfi preenche essa lacuna certificando-se de que as imagens de contêiner tenham informações de proveniência (de onde vêm as imagens e certificando-se de que não sejam adulteradas) e torna a geração de SBOM algo que pode acontecer durante o processo de construção, não ao mesmo tempo.
Para saber mais sobre essa versão da distribuição, acesse a nota de lançamento.
Baixe e experimente o Wolfi OS
Não haverá um ISO. Ainda assim, nesta era do Cloud Native, nossa “origem do sistema operacional” é diferente, é um contêiner.
E como você adivinhou, o WolfiOS pode ser encontrado como uma imagem de contêiner no repositório de contêineres do Chainguard: cgr.dev/chainguard/wolfi-base.