Wolfi，这个有趣的项目致力于增强软件供应链的安全性，现已走过一载岁月！

这里说的不是 世界上最小的章鱼，而是一款从这个小章鱼那里汲取灵感的 Linux 发行版。

Wolfi 是一个由社区驱动、以容器为核心的 Linux 发行版，目的在于保护软件供应链的安全性。创造者（Chainguard）将其誉为 “非发行版”。

Wolfi 的目标是解决构建和分发软件时经常遇到的容器问题。

下面我们一起来回顾下 Wolfi 的历程，以及未来的展望。

Wolfi：项目的成就 ?

自从 Wolfi 去年 开始启动，它已经取得了长足的进步，例如 在 Wolfi 的仓库中具有超过 1300 个包配置 ，并且在 Wolfi 的索引中拥有 超过 18000 的软件包。

有 60 名贡献者参与了这个项目 ，在过去的一年中， 超过 4400 个拉取请求已经成功地合并了 到 Wolfi 在 GitHub 上的仓库中。

此外，他们还保证了 80% 的时间内， 在 GitHub 项目中的 软件包更新间隔少于 24 小时 ，并且还添加了如 Docker Scout 、Snyk 、Wiz 等漏洞扫描工具。

由于 Wolfi 采用了 滚动发布 模式，因此它还致力于为新发现的 CVE 快速提供修复。

综上，这些成就使得他们在以下方面实现了技术创新：

• 为所有 Wolfi 软件包构建了 64 位 ARM 版本。
• 对 Go 和 Java 实现了全源引导。
• 引入了 Rustls TLS 库，用于处理内存安全漏洞。
• 分发了一个名称为 “wolfi-act” 的新项目，让 Wolfi 包能在 GitHub 操作中动态使用。

你可能会好奇：未来的计划是什么？

好吧，Wolfi 的开发团队希望它能发展成为一个由社区驱动的项目，并有望成为人们最信赖的容器化工作负载发行版。他们还期望 广大开发者都能充分利用 Wolfi 的全部潜力，解决各种问题。

此外，他们还分享了一个 Wolfi 的使用案例：

在当前应用中，Wolfi 的一个清晰的示例是 Chainguard Images —— 这正是我们开始构建该项目的原因。Chainguard Images 只是 Wolfi 实现的许多解决方案之一，我们鼓励更多的用户和社区去探寻 Wolfi 所能搭建出的可能性。

根据他们的新闻发布，他们还提到，在不久的将来 将为 Rust 和其他语言生态系统加入全源引导。

? 你是否有过用 Wolfi 的经验？你对它的体验是如何的？

via: https://news.itsfoss.com/wolfi-turns-one/

作者：Sourav Rudra 选题：lujun9972 译者：ChatGPT 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

5 月 17 日，谷歌推出了一项新计划，该计划向谷歌云用户策划并提供经过安全审查的开源包选项，以保护开源软件供应链。该公司在一篇 博文 中宣布了这项名为 “ 安心开源软件 Assured Open Source Software ” 的新服务。在博文中，谷歌云安全和隐私部门产品经理 Andy Chang 强调了保障开源软件的一些问题，并强调了谷歌对开源的承诺。

“开发者社区、企业及政府对软件供应链风险的意识越来越强，”Chang 写道，并以去年的 log4j 重大漏洞为例。“谷歌仍是开源代码最大的维护者、贡献者和使用者之一，并深入参与了帮助开源软件生态系统更加安全的工作。”

据谷歌称，“安心开源软件”服务将让云客户能够访问谷歌的大量软件审计知识。另据其称，所有通过该服务提供的开源软件包也在公司内部使用，该公司会定期检查和分析其漏洞。

谷歌目前正在审核的 550 个重要开源库的清单可以在 GitHub 上找到。虽然这些库都可以独立于谷歌下载，但该计划将呈现通过谷歌云提供的审核版本，防止开发者破坏广泛使用的开放源码库。这项服务现在处于预先体验阶段，将在 2022 年第三季度准备好进行更广泛的消费者测试。

谷歌的声明只是广大行业努力加强开源软件供应链的安全的一部分，这份努力得到了拜登政府的支持。今年 1 月，美国国土安全部和美国网络安全与基础设施安全局的代表与美国一些主要 IT 公司的高管会面，研究 log4j 漏洞之后的开源软件安全问题。此后，有关公司在最近的一次峰会上承诺提供超过 3000 万美元的资金，以改善开源软件的安全问题。

除了现金，谷歌还在投入工程时间来确保供应链的安全。该公司已宣布发展一个“ 开源维护小组 Open Source Maintenance Crew ”，该团队将与库维护人员合作以提高安全性。

via: https://www.opensourceforu.com/2022/05/google-to-start-distributing-a-collection-of-open-source-software-libraries/

作者：Laveesh Kocher 选题：lkxed 译者：beamrolling 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

第一款龙芯架构的芯片的性能测试一般

本周发布的龙芯 3A5000 是第一款龙芯架构的芯片，四核，时钟速度高达 2.3~2.5GHz。据称龙芯 3A5000 的性能比之前基于 MIPS 的芯片提高了 50%，同时功耗更低。

据 phoronix 报道，龙芯 3A5000 已经在 OpenBenchmarking.org 上传了一些 Phoronix 测试套件的基准测试结果，总的来说，如果与现代英特尔/AMD 甚至 ARM 的竞争对手相比，性能并不那么令人印象深刻。龙芯 3A5000 上的简易 C-Ray 基准测试 大约为 393 秒，在排名上与基于 ARM 的飞腾 FT-2000 或 Core i3 8109U / Core 2 Quad Q9500 / Core i5 750 差不多。甚至用于服务器的龙芯 3A5000LL 的 Perl 基准测试也是 OpenBenchmarking 上所看到的最慢的结果之一。在几个其它基准测试中，龙芯 3A5000 也只能与飞腾 ARMv8 SoC 相比较。

这还只是龙芯架构迈出的第一步，让我们多给它一些时间。

Linux 防火墙 Firewalld 十年后发布了 1.0

Firewalld 是红帽公司十年前开始的，用于通过 Netfilter 管理 Linux 的防火墙功能。在首次发布十年半之后，发布了 Firewalld 1.0。

Firewalld 1.0 带来了一些突破性的变化，包括放弃对 Python 2 的支持，默认支持区内转发，NAT 规则被移到 iNet 系列，默认目标现在类似于拒绝，废弃了旧的 IPTables 后端等等。对于终端用户来说，它可以普遍减少规则集大小。预计将在 Fedora 35 上推出。

Linux 界的传统就是这么谦虚，都在生产环境用了 10 年了才发布 1.0，不过现在这个传统已经逐渐被那些飙版本号的抛弃了。

GitHub 提高了 Go 模块的供应链安全性

GitHub 宣布对基于 Go 编程语言的模块进行了一系列供应链安全升级。Go 现在是该平台上最流行的编程语言之一。根据 2020 年 Go 开发者调查，76% 的受访者表示，Go 现在已经以某种形式在企业中使用，96% 的受访者表示这些模块被用于包管理。

GitHub 为 Go 模块主要提供了如下供应链安全改进：咨询建议数据库，目前包含 150 多个建议；依赖关系图，可以通过 go.mod 来监控、分析项目的依赖关系，在发现有漏洞的依赖关系时提醒用户；依赖机器人，启用自动拉动请求来修补有漏洞的 Go 模块。

通过软件仓库来解决软件供应链攻击风险是一个好的思路。

共同作者：Curtis Franklin, Jr

开源软件通常被认为比专有软件更安全、更有保障，因为如果用户愿意，他们可以从源代码编译软件。他们知道在他们环境中运行的代码的来源。在他们的环境中运行的代码每个部分都可以被审查，也可以追溯每段代码的开发者。

然而，用户和提供者们正在逐渐远离完全控制软件所带来的复杂性，而在转而追求软件的便捷和易用。

VMware 副总裁兼首席开源官 Dirk Hohndel 说：“当我看到在一个有关网络安全和隐私的讲座中，演讲者运行 docker run 命令来安装和运行一些从互联网上下载的随机二进制文件时，我经常会大吃一惊。这两件事似乎有点相左。”

软件供应链，即将应用程序从编码、打包、分发到最终用户的过程是相当复杂的。如果其中有一环出现错误，可能会导致软件存在潜在的风险，特别是对于开源软件。一个恶意行为者可以访问后端，并在用户不知情或不受控的情况下向其插入任何可能的恶意代码。

这样的问题不单单存在于云原生领域，在现代应用开发中很常见，这包括 JavaScript、NPM、PyPI、RubyGems 等等。甚至连 Mac 上的 Homebrew 过去也是通过源代码提供，由用户自己编译。

“如今，你只需要下载二进制文件并安装它，并期望其源代码并没有被恶意修改过。”Hohndel 说，“作为一个行业，我们需要更加关注我们的开源代码供应。这对我来说是非常重要的事，我正努力让更多的人意识到其重要性。”

然而，这不仅仅是一个二进制与源代码的关系。只运行一个二进制文件，而不必从源代码构建所有东西有着巨大的优势。当软件开发需求发生转变时候，这种运行方式允许开发人员在过程中更加灵活和响应更快。通过重用一些二进制文件，他们可以在新的开发和部署中快速地循环。

Hohndel 说：“如果有办法向这些软件添加签名，并建立一个‘即时’验证机制，让用户知道他们可以信任此软件，那就更好了。”

Linux 发行版解决了这个问题，因为发行版充当了看门人的角色，负责检查进入受支持的软件存储库的软件包的完整性。

“像通过 Debian 等发行版提供的软件包都使用了密钥签名。要确保它确实是发行版中应包含的软件，需要进行大量工作。开发者们通过这种方式解决了开源供应链问题。”Hohndel 说。

但是，即使在 Linux 发行版上，人们也希望简化事情，并以正确性和安全性换取速度。现在，诸如 AppImage、Snap 和 Flatpack 之类的项目已经采用了二进制方式，从而将开源供应链信任问题带入了 Linux 发行版。这和 Docker 容器的问题如出一辙。

“理想的解决方案是为开源社区找到一种设计信任系统的方法，该系统可以确保如果二进制文件是用受信任网络中的密钥签名的，那么它就可以被信任，并允许我们可靠地返回源头并进行审核，” Hohndel 建议。

但是，所有这些额外的步骤都会产生成本，大多数项目开发者要么不愿意，或无力承担。一些项目正在尝试寻找解决该问题的方法。例如，NPM 已开始鼓励提交软件包的用户正确认证和保护其账户安全，以提高平台的可信度。

开源社区善于解决问题

Hohndel 致力于解决开源供应链问题，并正试图让更多开发者意识到其重要性。去年，VMware 收购了 Bitnami，这为管理由 VMware 所签名的开源软件提供了一个良机。

“我们正在与各种上游开源社区进行交流，以提高对此的认识。我们还在讨论技术解决方案，这些方案将使这些社区更容易解决潜在的开源供应链问题。” Hohndel 说。

开源社区历来致力于确保软件质量，这其中也包括安全性和隐私性。不过，Hohndel 说：“我最担心的是，在对下一个新事物感到兴奋时，我们经常忽略了需要的基础工程原则。”

最终，Hohndel 认为答案将来自开源社区本身。 “开源是一种工程方法论，是一种社会实验。开源就是人们之间相互信任、相互合作、跨国界和公司之间以及竞争对手之间的合作，以我们以前从未有过的方式。”他解释说。

via: https://www.linux.com/articles/open-source-supply-chain-a-matter-of-trust/

作者：Swapnil Bhartiya 选题：lujun9972 译者：Kevin3599 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

跟踪您的库存和需要的材料，用这些供应链管理工具制造产品。

本文最初发表于 2016 年 1 月 14 日，最后的更新日期为 2018 年 3 月 2 日。

如果你正在管理着处理实体货物的业务，供应链管理 是你的业务流程中非常重要的一部分。不论你是经营着一个只有几个客户的小商店，还是在世界各地拥有数以百万计客户和成千上万产品的世界财富 500 强的制造商或零售商，很清楚地知道你的库存和制造产品所需要的零部件，对你来说都是非常重要的事情。

保持对货品、供应商、客户的持续跟踪，而且所有与它们相关的变动部分都会受益于这些用来帮助管理工作流的专门软件，而在某些情况下需要完全依赖这些软件。在本文中，我们将去了解一些自由及开源的供应链管理方面的软件，以及它们的其中一些功能。

供应链管理比单纯的库存管理更为强大。它能帮你去跟踪货物流以降低成本，以及为可能发生的各种糟糕的变化来制定应对计划。它能够帮你对出口合规性进行跟踪，不论是否是出于法律要求、最低品质要求、还是社会和环境责任。它能够帮你计划最低供应量，让你能够在订单数量和交付时间之间做出明智的决策。

由于其本质决定了许多供应链管理软件是与类似的软件捆绑在一起的，比如，客户关系管理（CRM）和 企业资源计划管理 （ERP）。因此，当你选择哪个工具更适合你的组织时，你可能会考虑与其它工具集成作为你的决策依据之一。

Apache OFBiz

Apache OFBiz 是一套帮你管理多种业务流程的相关工具。虽然它能管理多种相关问题，比如，分类、电子商务网站、会计和 POS，它在供应链管理方面的主要功能关注于仓库管理、履行、订单和生产管理。它的可定制性很强，但是，对应的它需要大量的规划去设置和集成到你现有的流程中。这就是它适用于中大型业务的原因之一。项目的功能构建于三个层面：展示层、业务层和数据层，它是一个弹性很好的解决方案，但是，再强调一遍，它也很复杂。

Apache OFBiz 的源代码在其 项目仓库 中可以找到。Apache OFBiz 是用 Java 写的，并且它是按 Apache 2.0 许可证 授权的。

如果你对它感兴趣，你也可以去查看 opentaps，它是在 OFBiz 之上构建的。Opentaps 强化了 OFBiz 的用户界面，并且添加了 ERP 和 CRM 的核心功能，包括仓库管理、采购和计划。它是按 AGPL 3.0 授权使用的，对于不接受开源授权的组织，它也提供了商业授权。

OpenBoxes

OpenBoxes 是一个供应链管理和存货管理项目，最初的主要设计目标是为了医疗行业中的药品跟踪管理，但是，它可以通过修改去跟踪任何类型的货品和相关的业务流。它有一个需求预测工具，可以基于历史订单数量、存储跟踪、支持多种场所、过期日期跟踪、销售点支持等进行预测，并且它还有许多其它功能，这使它成为医疗行业的理想选择，但是，它也可以用于其它行业。

它在 Eclipse 公开许可证 下可用，OpenBoxes 主要是由 Groovy 写的，它的源代码可以在 GitHub 上看到。

OpenLMIS

与 OpenBoxes 类似，OpenLMIS 也是一个医疗行业的供应链管理工具，但是，它专用设计用于在非洲的资源缺乏地区使用，以确保有限的药物和医疗用品能够用到需要的病人上。它是 API 驱动的，这样用户可以去定制和扩展 OpenLMIS，同时还能维护一个与通用基准代码的连接。它是由洛克菲勒基金会开发的，其它的贡献者包括联合国、美国国际开发署、和比尔 & 梅林达·盖茨基金会。

OpenLMIS 是用 Java 和 JavaScript 的 AngularJS 写的。它在 AGPL 3.0 许可证 下使用，它的源代码在 GitHub 上可以找到。

Odoo

你可能在我们以前的 ERP 项目 榜的文章上见到过 Odoo。事实上，根据你的需要，一个全功能的 ERP 对你来说是最适合的。Odoo 的供应链管理工具主要围绕存货和采购管理，同时还与电子商务网站和 POS 连接，但是，它也可以与其它的工具连接，比如，与 frePPLe 连接，它是一个开源的生产计划工具。

Odoo 既有软件即服务（SaaS）的解决方案，也有开源的社区版本。开源的版本是以 LGPL 版本 3 下发行的，源代码在 GitHub 上可以找到。Odoo 主要是用 Python 来写的。

xTuple

xTuple 标称自己是“为成长中的企业提供供应链管理软件”，它专注于已经超越了其传统的小型企业 ERP 和 CRM 解决方案的企业。它的开源版本称为 Postbooks，添加了一些存货、分销、采购、以及供应商报告的功能，它提供的核心功能是会计、CRM、以及 ERP 功能，而它的商业版本扩展了制造和分销的 功能。

xTuple 在 CPAL 下使用，这个项目欢迎开发者去复刻它，为基于存货的制造商去创建其它的业务软件。它的 Web 应用核心是用 JavaScript 写的，它的源代码在 GitHub 上可以找到。

就这些，当然了，还有其它的可以帮你处理供应链管理的开源软件。如果你知道还有更好的软件，请在下面的评论区告诉我们。

via: https://opensource.com/tools/supply-chain-management

作者：Jason Baker 译者：qhwdw 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出