Start Empfohlen Wolfi Linux wurde entwickelt, um die Software-Lieferkette zu schützen

Wolfi Linux wurde entwickelt, um die Software-Lieferkette zu schützen

5
0


Der Wunsch nach Integrität und Transparenz der Softwarelieferkette hat dazu geführt, dass viele Unternehmen Schwierigkeiten haben, Softwaresicherheitsmaßnahmen wie Signaturen, Herkunft und SBOMs in Legacy-Systeme und bestehende Linux-Distributionen einzubauen.

Dies hat dazu geführt Kettenschutz um Wolfi zu produzieren, eine neue Linux-‚(Un)distribution‘ und Build-Toolchain, die von Grund auf darauf ausgelegt ist, Container-Images zu produzieren, die die Anforderungen einer sicheren Software-Lieferkette erfüllen.

Es wird als (Un-)Distribution bezeichnet, weil es sich nicht um eine vollständige Linux-Distribution handelt, die für die Ausführung auf Bare-Metal entwickelt wurde, sondern um eine abgespeckte, die für die Cloud-native Ära entwickelt wurde.

„Angriffe finden an jedem Punkt entlang der Software-Lieferkette statt, von der Art und Weise, wie Code erstellt wird, über seine Bereitstellung bis hin zu seiner Ausführung, Verpackung und Auslieferung an die Endbenutzer“, sagt Dan Lorenc, CEO und Mitbegründer von Chainguard. „Da die Sicherheit der Softwarelieferkette den gesamten Entwicklungslebenszyklus abdeckt, ist es nicht wie in anderen Sicherheitsbereichen, in denen Punktlösungen dieses komplexe Problem lösen können. Die sichere Entwicklerplattform von Chainguard spiegelt direkt unsere Mission wider, die Softwarelieferkette standardmäßig sicher zu machen indem wir Entwicklern helfen, die Softwaresicherheit vom Build bis zur Produktion zu verbessern.“

Wolfi ermöglicht die Verwendung speziell entwickelter Chainguard-Images, die mit minimalen Komponenten entwickelt wurden, um die Angriffsfläche eines Unternehmens zu reduzieren und SBOMs zum Zeitpunkt der Entwicklung zu generieren, ohne Fehler im Erstellungsprozess zu hinterlassen. Diese Images sind distrolos, in dem Sinne, dass sie so minimal sind, dass sie nicht einmal einen Paketmanager (wie apt oder apk) haben. Dadurch werden Abhängigkeiten so weit wie möglich minimiert, was die Prüfung, Aktualisierung und Übertragung von Images vereinfacht und die potenzielle Angriffsfläche reduziert.

Gleichzeitig startet das Unternehmen eine Chainguard Academy, um wichtige Bildungsressourcen kostenlos bereitzustellen, damit Entwickler, Ingenieure und CISOs praktische Sicherheitstools und empfohlene Praktiken für die Software-Lieferkette kennenlernen können. Entwickler, die die Chainguard Academy verwenden, können über ein interaktives Sandbox-Terminal direkt von ihren Browsern aus mit Sigstore- und Distributions-Container-Images arbeiten.

„Die Software-Lieferkette wird sicherer, wenn wir alle unseren Teil dazu beitragen, schrittweise Fortschritte in Richtung Sicherheitsverbesserungen zu erzielen“, sagt Lisa Tagliaferri, Leiterin der Entwicklerausbildung bei Chainguard. „Unsere Hoffnung mit der Chainguard Academy ist es, der Entwicklergemeinschaft die Ressourcen zur Verfügung zu stellen, die erforderlich sind, um diese längerfristigen und nachhaltigen Ziele zu erreichen.“

Mehr erfahren Sie auf der Kettenwächter-Blog.

Bildnachweis: Chan2545/depositphotos.com



Vorheriger ArtikelFlächenwidmung: Eine Ebene höher
Nächster ArtikelSchallenberg bei UN-Rede: Krieg „auf europäischem Boden“ betrifft alle Staaten

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein