Chainguard發布“內存安全版”Linux系統

Chainguard本周發布了內存安全Linux發行版——Wolfi，宣稱能從根本上杜絕大量已知軟件漏洞。此外，Chainguard還與互聯網安全研究小組(ISRG)合作，為Wolfi創建了一個Rustls TLS庫，可用作libcurl中的默認后端。所有curl鏡像或任何其他依賴于curl的鏡像都能夠利用Wolfi的內存安全屬性。

Chainguard首席執行官Dan Lorenc表示，Wolfi是使用以內存安全語言編寫的新庫和不安全語言編寫的庫的組合開發的，是內存安全的系統級實現。

Wolfi的核心元素包括三級源代碼強化、位置獨立可執行文件(PIE)、堆棧粉碎保護(SSP)、運行時立即符號綁定、只讀重定位和控制流執行(CET)。

Lorenc指出，開發“內存安全版”Linux系統的目標是提供一個更安全的平臺來保護嚴重依賴Linux來部署應用程序的軟件供應鏈，今天在非內存安全平臺上開發應用程序是不負責任的。

絕大多數安全漏洞都可以追溯到涉及應用程序如何訪問內存的問題。然后，網絡罪犯利用這些漏洞發起攻擊，例如，利用緩沖區溢出來訪問數據。

開發人員正在過渡到Rust、Go、C#、Java、Swift、Python和JavaScript等內存安全語言，以消除其中的許多漏洞。與此同時，Linux的維護者開始接受Rust作為C的替代品，以消除Linux內核中的這些類型的漏洞。

目前尚不清楚開發人員是否正在放棄較舊的編程語言以支持內存安全語言，但替換使用各種遺留語言的數萬億行代碼是一項艱巨的任務。不過，隨著越來越多的新應用程序使用內存安全編程語言開發，應用程序安全態勢將穩步提高。

今天，大多數企業都面臨不斷增長且無力償還的“安全債”，企業網絡安全團隊熱切期望并鼓勵開發人員盡快過渡到內存安全工具和平臺。一些阻力最小的過渡方式包括用更現代的安全替代方案替換整個（基于不安全語言開發的）應用程序。

至少在理論上，隨著DevSecOps最佳實踐的不斷成熟，企業網絡安全團隊正在與應用程序開發人員進行更緊密的合作甚至融合，因此有更多機會建議開發人員使用內存安全的語言和平臺。在某些應用場景，企業已經開始強制使用內存安全工具和平臺。