Chainguard发布“内存安全版”Linux系统
Chainguard本周发布了内存安全Linux发行版——Wolfi,宣称能从根本上杜绝大量已知软件漏洞。
此外,Chainguard还与互联网安全研究小组(ISRG)合作,为Wolfi创建了一个Rustls TLS库,可用作libcurl中的默认后端。所有curl镜像或任何其他依赖于curl的镜像都能够利用Wolfi的内存安全属性。
Chainguard首席执行官Dan Lorenc表示,Wolfi是使用以内存安全语言编写的新库和不安全语言编写的库的组合开发的,是内存安全的系统级实现。
Wolfi的核心元素包括三级源代码强化、位置独立可执行文件(PIE)、堆栈粉碎保护(SSP)、运行时立即符号绑定、只读重定位和控制流执行(CET)。
Lorenc指出,开发“内存安全版”Linux系统的目标是提供一个更安全的平台来保护严重依赖Linux来部署应用程序的软件供应链,今天在非内存安全平台上开发应用程序是不负责任的。
绝大多数安全漏洞都可以追溯到涉及应用程序如何访问内存的问题。然后,网络罪犯利用这些漏洞发起攻击,例如,利用缓冲区溢出来访问数据。
开发人员正在过渡到Rust、Go、C#、Java、Swift、Python和JavaScript等内存安全语言,以消除其中的许多漏洞。与此同时,Linux的维护者开始接受Rust作为C的替代品,以消除Linux内核中的这些类型的漏洞。
目前尚不清楚开发人员是否正在放弃较旧的编程语言以支持内存安全语言,但替换使用各种遗留语言的数万亿行代码是一项艰巨的任务。不过,随着越来越多的新应用程序使用内存安全编程语言开发,应用程序安全态势将稳步提高。
今天,大多数企业都面临不断增长且无力偿还的“安全债”,企业网络安全团队热切期望并鼓励开发人员尽快过渡到内存安全工具和平台。一些阻力最小的过渡方式包括用更现代的安全替代方案替换整个(基于不安全语言开发的)应用程序。
至少在理论上,随着DevSecOps最佳实践的不断成熟,企业网络安全团队正在与应用程序开发人员进行更紧密的合作甚至融合,因此有更多机会建议开发人员使用内存安全的语言和平台。在某些应用场景,企业已经开始强制使用内存安全工具和平台。