Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Wolfi - Linux un-distro for secure container image

Tsubasa Nagasawa
April 12, 2023
Technology
0
420

Wolfi - Linux un-distro for secure container image

Tsubasa Nagasawa

April 12, 2023
Tweet

More Decks by Tsubasa Nagasawa

See All by Tsubasa Nagasawa
KEP-753: Sidecar containers の歩み
toversus
0
330
KEP から眺める Kubernetes
toversus
1
880
大規模ゲームインフラとしての Kubernetes とノーメンテナンス運用
toversus
6
5.8k
Reliable_and_Performant_DNS_Resolution_with_High_Available_NodeLocal_DNSCache.pdf
toversus
2
1.2k
Zero Scale Abstraction in Knative Serving
toversus
7
2k
Knative Status Report
toversus
0
1.2k

Other Decks in Technology

See All in Technology
「共通基盤」を超えよ! 今、Platform Engineeringに取り組むべき理由
jacopen
25
5.9k
プロトタイピングによる不確実性の低減 / Reducing Uncertainty through Prototyping
ohbarye
3
240
長期間TiDBを使ってきた話 @ 私たちはなぜNewSQLを使うのかTiDB選定5社が語る選定理由と活用LT / Experiences with TiDB Over Time
chibiegg
2
710
株式会社EventHub・エンジニア採用資料
eventhub
0
1.9k
コードを書く隙間を見つけて生きていく技術/Findy 思考の現在地
fujiwara3
24
5.2k
PHPカンファレンス小田原2024
ysknsid25
3
660
Discord とビルダー&チャットボットの使い方 / How to use Discord and Builder & Chatbots
ks91
PRO
0
130
テストプロセスで大事にしていること #jasstnano
makky_tyuyan
0
130
Tableau事例紹介 / Tableau Case Study of Eureka
kazuya_araki_tokyo
1
170
DevOpsメトリクスとアウトカムの接続にトライ!開発プロセスを通して計測できるメトリクスの活用方法
ham0215
1
200
日本におけるデータエンジニアリングのこれまでとこれから
foursue
11
2.4k
GraphQL 成熟度モデルの紹介と、プロダクトに当てはめた事例 / GraphQL maturity model
mh4gf
4
110

Featured

See All Featured
Testing 201, or: Great Expectations
jmmastey
27
6.3k
A Tale of Four Properties
chriscoyier
150
22k
The Power of CSS Pseudo Elements
geoffreycrofte
59
5k
For a Future-Friendly Web
brad_frost
171
8.9k
Designing for humans not robots
tammielis
247
25k
Pencils Down: Stop Designing & Start Developing
hursman
117
11k
In The Pink: A Labor of Love
frogandcode
138
21k
The Cult of Friendly URLs
andyhume
74
5.7k
The Invisible Side of Design
smashingmag
294
49k
How to train your dragon (web standard)
notwaldorf
72
5.1k
Design by the Numbers
sachag
274
18k
Navigating Team Friction
lara
177
13k

Transcript

  1. Copyrights©3-shake Inc. All Rights Reserved. Wolfi Linux un-distro for secure

    container image 2023/4/12 3-shake SRE Tech Talk #5 コンテナセキュリティ最前線 LT (10 min)

  2. Copyrights©3-shake Inc. All Rights Reserved. 2 whoami Tsubasa Nagasawa (@toversus26)

    株式会社スリーシェイク Sreake 事業部 スマホ向けゲームの Kubernetes エンジニアを経て、 2023 年 3 月から SRE 見習いをやっています。 Kubernetes やエコシステム周りを観察するのが好きです。 KEP-753 と KEP-2433 の結末が気になります。

  3. Copyrights©3-shake Inc. All Rights Reserved. 3 Wolfi • セキュリティ重視のカーネルを含まない Linux

    un-distro • Chainguard の distroless images のベース ◦ https://github.com/chainguard-images/images • 特徴 ◦ upstream で脆弱性修正を含んだリリースがまだなら手動パッチ ◦ SBOM 標準搭載 ◦ 必要な依存関係しか持たない最小イメージ構成 ◦ glibc と musl を選択可能 ◦ パッケージ形式として APK を採用 ◦ 宣言的で再現可能なビルドシステム (melange, apko) ◦ ライブラリやツールの変更の自動追従 (wolfictl)

  4. Copyrights©3-shake Inc. All Rights Reserved. 4 Chainguard Images • Chainguard

    Images をベースイメージとして使うだけ ◦ Alpine の APK と一部パッケージ名が異なるので注意

  5. Copyrights©3-shake Inc. All Rights Reserved. 5 melange • APK 形式のパッケージを生成するビルドツール

    ◦ パイプラインを定義してコンテナ内で処理を実行 (Bubblewrap or Docker) ▪ 事前定義されたパイプラインの利用 ▪ ソースコードからビルド ▪ 脆弱性修正のパッチの適用 ▪ … ◦ マルチアーキテクチャ対応 ◦ YAML ファイルで宣言的に管理 ◦ パッケージに署名

  6. Copyrights©3-shake Inc. All Rights Reserved. 6 apko • APK パッケージを組み合わせてコンテナイメージの生成とプッシュ

    ◦ ko-build/ko に影響を受けている ◦ Docker デーモンも特権も不要でビルド ◦ 再現性のあるイメージ生成 ◦ 最小構成の distroless イメージを生成 ◦ YAML ファイルで宣言的に管理 ◦ マルチアーキテクチャ対応 ◦ SBOM を自動で同梱 ◦ s6 を使った複数プロセス管理

  7. Copyrights©3-shake Inc. All Rights Reserved. Demo https://github.com/toVersus/wolfi-demo ※ koki-develop/clive を使ってライブデモしています

  8. Copyrights©3-shake Inc. All Rights Reserved. 8 Summary • Wolfi でソフトウェアの部品を最新に近い状態に

    ◦ Linux distro の脆弱性対応のリリース待ちをやめよう ◦ Ephemeral containers の機能があるので Distroless でも良い • melange / apko / wolfictl でビルドシステムが組める ◦ How Google got to rolling Linux releases for Desktops - Google Cloud • 配布されたコンテナイメージの利用からセルフビルド時代へ? ◦ We’re No Longer Sunsetting the Free Team Plan - Docker • 再現性のあるビルドでソースコードの出所を担保 ◦ https://reproducible-builds.org/ ◦ [FOSDEM2023] Bit-for-bit reproducible builds with Dockerfile