Na sequência de incidentes alarmantes como o ataque maciço de malware NotPetya da Rússia em 2017 e a campanha de ciberespionagem SolarWinds do Kremlin em 2020 – ambos provocados por envenenamento de poços para distribuição de software – organizações ao redor do mundo estão lutando para controlar a segurança da cadeia de suprimentos de software. Em geral, e para software de código aberto em particular, uma defesa mais forte está em saber qual software você está realmente executando, com um foco crucial em enumerar todas as pequenas peças que compõem o todo e validar que elas são o que deveriam ser. Dessa forma, quando você embala uma caixa de herança de software e a armazena em uma prateleira, você sabe que não há um microfone ao vivo ou um Tupperware cheio de ovos cozidos na caixa por anos.
Criar um sistema para gerar um manifesto do que está dentro de cada caixa em cada porão e garagem é um esforço enorme, mas uma nova ferramenta da empresa de segurança Chainguard visa fazer exatamente isso para o “contêineres” de software que sustentam quase todos os serviços digitais hoje.
Na quinta-feira, a Chainguard lançou uma distribuição Linux chamada Wolfi, projetada especificamente para como os sistemas digitais são realmente construídos hoje na nuvem . A maioria dos consumidores não usa Linux, o famoso sistema operacional de código aberto, em seus computadores pessoais. .) Mas o sistema operacional de código aberto é amplamente usado em servidores e infraestrutura de nuvem em todo o mundo, em parte porque pode ser implantado de maneiras tão flexíveis. Ao contrário dos sistemas operacionais da Microsoft e da Apple, onde sua única opção é o sabor de sorvete que eles lançam , a natureza aberta do Linux permite que os desenvolvedores criem te todos os tipos de sabores – conhecidos como “distribuições” – para atender a desejos e necessidades específicas. Mas os desenvolvedores da Chainguard, que trabalham com software de código aberto há anos, inclusive em outras distribuições Linux, sentiram que faltava um sabor importante.
“O que temos Feito é construir uma distribuição que achamos que funcionará bem para empresas que buscam abordar seriamente a segurança da cadeia de suprimentos”, diz Ariadne Conill, engenheira principal da Chainguard. “Diferentes distribuições têm diferentes partes de software que elas incluem – são coleções de software com curadoria. Começar com uma distribuição Linux que faz tudo certo desde o início, é uma grande vantagem para os desenvolvedores de software acertarem suas próprias coisas.”
Pense nos contêineres de software como uma casa construída fora de um contêiner de transporte. Tudo o que você precisa para viver está lá, mas você pode pegar a casa contêiner e movê-la para onde precisar ir. Se um sistema operacional é como os eletrodomésticos, fiação elétrica, encanamento e outras infraestruturas na casa de contêineres, é isso que Wolfi está verificando e pré-itemizando para garantir a segurança de tudo em sua casa de contêineres. O Wolfi foi projetado para funcionar sem problemas com outras ferramentas da Chainguard que ajudam os desenvolvedores a criar e adicionar ao software em seu contêiner de maneira segura. Em outras palavras, é simples validar móveis e objetos pessoais e adicioná-los ao seu índice de contêineres. Dessa forma, se sua casa for arrombada, é mais fácil determinar o que aconteceu e como. E se você quiser enviar sua casa para o exterior, você tem um manifesto detalhado para mostrar a alfândega.
“É exatamente a mesma coisa com software e mercadorias físicas – pode haver contrabando ou produtos falsificados que as pessoas estão tentando esconder e se esgueirar”, diz Adolfo Garcia, engenheiro de software da Chainguard. “Para software, se você não tiver a capacidade de coletar as informações em tempo de construção, perderá muito sobre o que está lá.”
