0
0
Wolfi é uma nova distribuição Linux da comunidade que combina os melhores aspectos de imagens de base de contêiner existentes com medidas de segurança padrão que incluirão assinaturas de software fornecidas por Sigstore , proveniência e listas de materiais de software ( SBOM ).
Segurança da cadeia de suprimentos de software
A segurança da cadeia de suprimentos de software é única – você tem muitos tipos diferentes de ataques que podem atingir muitos pontos diferentes no ciclo de vida do software. Você não pode simplesmente pegar um software de segurança, ligá-lo e ficar protegido de tudo.
A pressão do ecossistema pela integridade e transparência da cadeia de suprimentos de software deixou as organizações lutando para criar medidas de segurança de software, como assinaturas, proveniência e SBOMs, em sistemas legados e distribuições Linux existentes.
Recentemente, as agências de segurança mais prestigiadas dos EUA (NSA, CISA e ODNI) tentaram contribuir para a conversa e lançaram um guia de práticas recomendadas de mais de 60 páginas , Protegendo a Cadeia de Suprimentos de Software para Desenvolvedores.
Recursos do Wolfi Linux
A nova cadeia de ferramentas de distribuição e construção do Linux da Chainguard, Wolfi, foi projetada desde o início para produzir imagens de contêiner que atendem aos requisitos de uma cadeia de suprimentos de software segura.
“Nós nos referimos ao Wolfi como undistro porque não é uma distribuição Linux completa projetada para rodar em bare-metal, mas uma distribuição simplificada projetada para a era nativa da nuvem. Mais notavelmente, não incluímos um kernel Linux, em vez disso contamos com o ambiente (como o tempo de execução do contêiner) para fornecer isso”, disse Dan Lorenc, CEO da Chainguard.
As principais características do Wolfi são:
- Fornece um SBOM de tempo de compilação como padrão para todos os pacotes
- Os pacotes são projetados para serem granulares e independentes, para suportar imagens mínimas
- Usa o formato de pacote APK comprovado e confiável
- Sistema de compilação declarativo e reproduzível
- Projetado para suportar glibc e musl
“Os fornecedores de SCA querem que o mercado acredite que as vulnerabilidades da cadeia de suprimentos de software estão entre a classe normal de CVEs que podem ser detectadas pela varredura de pacotes e distribuições de software. Mas a maioria dos scanners usa bancos de dados de pacotes para ver quais pacotes estão instalados dentro dos contêineres, e muitos dos softwares atuais estão sendo instalados manualmente, em vez de por meio de gerenciadores de pacotes. Além disso, as próprias distribuições Linux normalmente distribuem apenas versões estáveis de software por longos períodos de tempo, enquanto os desenvolvedores que instalam software estão (novamente) fazendo instalações manuais para obter as versões mais recentes ou as versões com patches mais recentes. Como resultado, há uma grande desconexão entre o que os scanners são capazes de detectar por meio de CVEs de segurança da cadeia de suprimentos de software e o que realmente existe no ambiente típico. Wolfi é uma nova undistro que está obtendo imagens de contêiner base constantemente atualizadas que visam vulnerabilidades conhecidas como zero, para eliminar esse atraso entre distribuições comuns e imagens de contêiner e usuários executando imagens com vulnerabilidades conhecidas. Wolfi fecha essa lacuna garantindo que as imagens do contêiner tenham informações de procedência (de onde vêm as imagens e certificando-se de que não sejam adulteradas) e torna a geração de SBOM algo que pode acontecer durante o processo de construção, e não no final, ” Lorenc disse ao Help Net Security.
Wolfi está disponível para download no GitHub .
FONTE: HELPNET SECURITY