samedi, 10 décembre 2022

Wolfi : une undistro Linux avec des mesures de sécurité pour la chaîne d’approvisionnement logicielle

Wolfi est une nouvelle distribution Linux communautaire qui combine les meilleurs aspects des images de base de conteneurs existantes avec des mesures de sécurité par défaut qui incluront des signatures logicielles alimentées par Sigstore, la provenance et les nomenclatures logicielles (SBOM).

Sécurité de la chaîne d’approvisionnement des logiciels

La sécurité de la chaîne d’approvisionnement logicielle est unique : vous disposez de nombreux types d’attaques différents qui peuvent cibler de nombreux points différents du cycle de vie du logiciel. Vous ne pouvez pas simplement prendre un logiciel de sécurité, l’activer et être protégé de tout.

La poussée de l’écosystème en faveur de l’intégrité et de la transparence de la chaîne d’approvisionnement des logiciels a laissé les organisations se débattre pour mettre en place des mesures de sécurité logicielle telles que les signatures, la provenance et les SBOM dans les systèmes hérités et les distributions Linux existantes.

Récemment, les agences de sécurité les plus prestigieuses des États-Unis (NSA, CISA et ODNI) ont tenté d’ajouter à la conversation et ont publié une pratique recommandée de plus de 60 pages guide, Sécuriser la chaîne d’approvisionnement des logiciels pour les développeurs.

Fonctionnalités Wolfi Linux

Wolfi, la nouvelle chaîne d’outils Linux de non-distribution et de construction de Chainguard, est conçue dès le départ pour produire des images de conteneurs qui répondent aux exigences d’une chaîne d’approvisionnement logicielle sécurisée.

« Nous appelons Wolfi une distribution unifiée car il ne s’agit pas d’une distribution Linux complète conçue pour fonctionner sur du métal nu, mais d’une distribution simplifiée conçue pour l’ère du cloud natif. Plus particulièrement, nous n’incluons pas de noyau Linux, mais nous nous appuyons plutôt sur l’environnement (tel que l’environnement d’exécution du conteneur) pour fournir cela », a déclaré Dan Lorenc, PDG de Chainguard.

Les fonctionnalités clés de Wolfi sont :

  • Fournit un SBOM au moment de la construction en standard pour tous les packages
  • Les packages sont conçus pour être précis et indépendants, afin de prendre en charge un minimum d’images
  • Utilise le format de package APK éprouvé et fiable
  • Système de compilation déclaratif et reproductible
  • Conçu pour prendre en charge glibc et musl

« Les fournisseurs de SCA voudraient faire croire au marché que les vulnérabilités de la chaîne d’approvisionnement logicielle font partie de la classe normale de CVE qui peuvent être détectées en analysant les packages et les distributions de logiciels. Mais la plupart des scanners utilisent des bases de données de packages pour voir quels packages sont installés à l’intérieur des conteneurs, et la plupart des logiciels actuels sont installés manuellement, plutôt que via des gestionnaires de packages. De plus, les distributions Linux elles-mêmes ne distribuent généralement que des versions stables de logiciels pendant de longues périodes, tandis que les développeurs qui installent des logiciels effectuent (encore) des installations manuelles pour obtenir les dernières versions, ou les versions pour la plupart récemment corrigées. En conséquence, il existe un énorme décalage entre ce que les scanners sont capables de détecter au moyen de CVE de sécurité de la chaîne d’approvisionnement logicielle et ce qui existe réellement dans l’environnement typique. Wolfi est une nouvelle undistro qui prend des images de conteneurs de base constamment mises à jour qui visent des vulnérabilités nulles connues, pour éliminer ce décalage entre les distributions courantes et les images de conteneurs, et les utilisateurs exécutant des images avec des vulnérabilités connues. Wolfi comble cette lacune en s’assurant que les images de conteneur ont des informations de provenance (d’où proviennent les images et en s’assurant qu’elles ne sont pas altérées), et fait de la génération de SBOM quelque chose qui peut se produire pendant le processus de construction, et non à la fin, », a déclaré Lorenc à Help Net Security.

Wolfi est disponible en téléchargement sur GitHub.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici