Wolfi: la distro Linux per la Software Supply Chain Security

Chainguard, azienda che si focalizza sullo sviluppo di developer platform dedicate alla software supply chain security, ha annunciato il lancio di una nuova distribuzione Linux, chiamata Wolfi, dedicata proprio alla messa in sicurezza delle operazioni di software supply chain. La catena di fornitura del software riguarda tutto ciò che coinvolge l'applicazione nel suo intero ciclo di vita. In buona sostanza la software supply chain security comporta l'implementazione di una serie di protocolli che rendono un applicativo e le diverse operazioni degli sviluppatori, compresi i vari componenti e tool, sicure dall'inizio alla fine.

Questo include ovviamente anche: il codice o le librerie di terze parti utilizzate, l'infrastruttura, le interfacce, le pratiche di sviluppo ed i relativi strumenti e protocolli. Più grosso e vasto è il codice di un'applicazione più complesse saranno tali operazioni, ecco perché spesso i team di coder si rivolgono a soluzioni già preconfigurate, come appunto quelle offerte da Chainguard, per semplificarsi la vita.

I developer di Chainguard hanno dunque realizzato Wolfi con i mente tutti i protocolli e le soluzioni tecniche per assicurare una completa messa in sicurezza della software supply chain. Tale elemento oggi è infatti di vitale importanza, soprattutto per le aziende, visto l'aumento spropositato di minacce informatiche in rete.

Wolfi è sostanzialmente una distribuzione Linux container-focused, quindi non è pensata per essere utilizzata su di un normale PC come sistema principale ma appunto viene distribuita come un'immagine container per essere eseguita su di un sistema di OS-level virtualization, come ad esempio Docker, per eseguire test del codice o delle procedure di sviluppo cosi che sia possibile verificare se le procedure applicate rispettano tutti i protocolli di sicurezza richiesti per quel determinati progetto software.

Wolfi rappresenta quindi un ottimo strumento, da utilizzare anche all'interno dei cloud-native environment, nella cassetta degli attrezzi di un software developer che necessità di testare l'affidabilità e la robustezza dei propri processi di sviluppo oltre che del relativo codice e dei tool utilizzati.