Η ικανότητα των οργανισμών να κερδίσουν αξία από την Kubernetes - και, ευρύτερα, την εγγενή τεχνολογία στο cloud - παρεμποδίζεται από ανησυχίες σχετικά με την ασφάλεια. Μία από τις μεγαλύτερες ανησυχίες αντικατοπτρίζει μία από τις μεγαλύτερες τρέχουσες προκλήσεις του κλάδου: την εξασφάλιση της εφοδιαστικής αλυσίδας λογισμικού.
Red Hat's "Έκθεση κατάστασης Kubernetes 2023" ανακάλυψα ότι Ασφάλεια Kubernetes είναι υπό αμφισβήτηση σε ορισμένες εταιρείες. Με βάση μια έρευνα των επαγγελματιών DevOps, μηχανικής και ασφάλειας από όλο τον κόσμο, η έκθεση διαπιστώνει ότι το 67% των ερωτηθέντων καθυστέρησε ή επιβράδυνε την ανάπτυξη λόγω ανησυχιών για την ασφάλεια του Kubernetes, το 37% αντιμετώπισε απώλεια εσόδων ή πελατών λόγω ενός κοντέινερ/Kubernetes περιστατικό ασφαλείας και το 38% αναφέρει την ασφάλεια ως κύρια ανησυχία με τις στρατηγικές κοντέινερ και Kubernetes.
Η αλυσίδα εφοδιασμού λογισμικού δέχεται όλο και περισσότερο πυρά και τα καταστήματα Kubernetes αισθάνονται τη ζέστη. Όταν ρωτήθηκαν ποια συγκεκριμένα ζητήματα ασφάλειας της εφοδιαστικής αλυσίδας λογισμικού τους απασχολούσαν περισσότερο, οι ερωτηθέντες στην έρευνα της Red Hat σημείωσαν:
- Ευάλωτα στοιχεία εφαρμογής (32%)
- Ανεπαρκή στοιχεία ελέγχου πρόσβασης (30%)
- Έλλειψη λογαριασμού υλικού (SBOM) ή προέλευσης (29%)
- Έλλειψη αυτοματισμού (29%)
- Έλλειψη ελέγχου (28%)
- Μη ασφαλείς εικόνες κοντέινερ (27%)
- Ασυνεπής επιβολή πολιτικής (24%)
- Αδυναμίες του αγωγού CI/CD (19%)
- Μη ασφαλή πρότυπα IaC (19%)
- Αδυναμίες ελέγχου έκδοσης (17%)
Αυτές οι ανησυχίες φαίνονται βάσιμες μεταξύ των ερωτηθέντων, με περισσότερους από τους μισούς να σημειώνουν ότι έχουν εμπειρία από πρώτο χέρι με σχεδόν όλους — ιδιαίτερα ευάλωτα στοιχεία εφαρμογών και αδυναμίες αγωγών CI/CD.
Υπάρχει μεγάλη επικάλυψη μεταξύ αυτών των θεμάτων, αλλά οι οργανισμοί μπορούν να ελαχιστοποιήσουν τις ανησυχίες για όλα αυτά εστιάζοντας σε ένα πράγμα: αξιόπιστο περιεχόμενο.
Η ικανότητα να εμπιστεύεσαι το περιεχόμενο γίνεται ολοένα και πιο προκλητική καθώς όλο και περισσότεροι οργανισμοί χρησιμοποιούν ανοιχτό κώδικα για ανάπτυξη στο cloud. Πάνω από τα δύο τρίτα του κώδικα εφαρμογής κληρονομείται από εξαρτήσεις ανοιχτού κώδικα και η εμπιστοσύνη ότι ο κώδικας είναι το κλειδί για την ενίσχυση της ασφάλειας εφαρμογών και πλατφόρμας και, κατ' επέκταση, για την απόκτηση της μεγαλύτερης αξίας από την πλατφόρμα ενορχήστρωσης κοντέινερ.
Πράγματι, οι οργανισμοί δεν μπορούν να δημιουργήσουν αξιόπιστα προϊόντα και υπηρεσίες εκτός εάν/μέχρι να μπορέσουν να εμπιστευτούν τον κώδικα που χρησιμοποιήθηκε για την κατασκευή τους. Οι λογαριασμοί υλικών λογισμικού έχουν σχεδιαστεί για να διασφαλίζουν την προέλευση του κώδικα, αλλά δεν πρέπει να χρησιμοποιούνται μεμονωμένα. Αντίθετα, τα SBOM θα πρέπει να θεωρούνται ως μέρος μιας πολύπλευρης στρατηγικής για την ασφάλεια της εφοδιαστικής αλυσίδας λογισμικού, με το αξιόπιστο περιεχόμενο στον πυρήνα.
Το No SBOM είναι νησί
Τα SBOM παρέχουν τις πληροφορίες που χρειάζονται οι προγραμματιστές για να λαμβάνουν τεκμηριωμένες αποφάσεις σχετικά με τα στοιχεία που χρησιμοποιούν. Αυτό είναι ιδιαίτερα σημαντικό καθώς οι προγραμματιστές αντλούν από πολλά αποθετήρια ανοιχτού κώδικα και βιβλιοθήκες για να δημιουργήσουν εφαρμογές. Ωστόσο, η ίδια η ύπαρξη ενός SBOM δεν διασφαλίζει την ακεραιότητα. Για ένα πράγμα, ένα Το SBOM είναι τόσο ωφέλιμο όσο είναι ενημερωμένο και επαληθεύσιμο. Για ένα άλλο, η λίστα όλων των στοιχείων ενός λογισμικού είναι μόνο το πρώτο βήμα. Μόλις γνωρίσετε τα στοιχεία, πρέπει να προσδιορίσετε εάν υπάρχουν γνωστά προβλήματα για αυτά τα στοιχεία.
Οι προγραμματιστές χρειάζονται εκ των προτέρων πληροφορίες ποιότητας και ασφάλειας σχετικά με τα στοιχεία λογισμικού που επιλέγουν. Οι πάροχοι λογισμικού και οι καταναλωτές θα πρέπει να επικεντρώνονται σε επιμελημένες εκδόσεις και σκληρυμένες βιβλιοθήκες ανοιχτού κώδικα που έχουν επαληθευτεί και πιστοποιηθεί με ελέγχους προέλευσης. Η τεχνολογία ψηφιακής υπογραφής διαδραματίζει σημαντικό ρόλο στη διασφάλιση ότι ένα τεχνούργημα λογισμικού δεν έχει τροποποιηθεί με οποιονδήποτε τρόπο κατά τη μεταφορά από το δημόσιο χώρο αποθήκευσης στο περιβάλλον του τελικού χρήστη.
Φυσικά, ακόμη και με όλα αυτά στη θέση τους, συμβαίνουν τρωτά σημεία. Και, δεδομένου του μεγάλου αριθμού τρωτών σημείων που εντοπίζονται σε όλο το σύνολο των προγραμμάτων ανάπτυξης λογισμικού στα οποία βασίζονται, απαιτούνται πρόσθετες πληροφορίες για να βοηθήσουν τις ομάδες να αξιολογήσουν τον πραγματικό αντίκτυπο μιας γνωστής ευπάθειας.
Θέματα VEX-ing
Ορισμένα θέματα έχουν μεγαλύτερο αντίκτυπο από άλλα. Εκεί έρχεται το VEX — ή το Vulnerability Exploitability eXchange —. Μέσω ενός εγγράφου VEX αναγνώσιμο από μηχανήματα, οι πάροχοι λογισμικού μπορούν να αναφέρουν τη δυνατότητα εκμετάλλευσης των ευπαθειών που βρίσκονται στις εξαρτήσεις των προϊόντων τους — βέλτιστα, χρησιμοποιώντας προληπτικά και αυτοματοποιημένα συστήματα ανάλυσης ευπάθειας και ειδοποίησης.
Σημειώστε ότι το VEX υπερβαίνει την παροχή δεδομένων ευπάθειας και κατάστασης. περιλαμβάνει επίσης πληροφορίες εκμεταλλευσιμότητας. Το VEX βοηθά στην απάντηση στην ερώτηση: Έχει γίνει ενεργή εκμετάλλευση αυτής της ευπάθειας; Αυτό δίνει τη δυνατότητα στους πελάτες να δώσουν προτεραιότητα και να διαχειριστούν αποτελεσματικά την αποκατάσταση. Κάτι σαν το Log4j θα δικαιολογούσε την άμεση δράση, για παράδειγμα, ενώ μια ευπάθεια χωρίς γνωστό exploit μπορεί να περιμένει. Μπορούν να ληφθούν πρόσθετες αποφάσεις ιεράρχησης προτεραιοτήτων με βάση τον καθορισμό του εάν μια συσκευασία υπάρχει αλλά δεν χρησιμοποιείται ή εκτίθεται.
Βεβαίωση: Το τρίτο πόδι του σκαμνιού
Εκτός από τα SBOM και την τεκμηρίωση VEX, απαιτείται πιστοποίηση πακέτου για να δημιουργηθεί εμπιστοσύνη στο περιεχόμενο.
Πρέπει να γνωρίζετε ότι ο κώδικας που χρησιμοποιείτε έχει αναπτυχθεί, επιμεληθεί και κατασκευαστεί με γνώμονα τις αρχές ασφαλείας και παρέχεται με τα μεταδεδομένα που χρειάζεστε για να επαληθεύσετε την προέλευση και το περιεχόμενο. Όταν παρέχονται έγγραφα SBOM και VEX, έχετε έναν τρόπο να αντιστοιχίσετε γνωστά τρωτά σημεία σε στοιχεία λογισμικού στο πακέτο που αξιολογείτε, χωρίς να χρειάζεται να εκτελέσετε έναν σαρωτή ευπάθειας. Όταν χρησιμοποιούνται ψηφιακές υπογραφές για την πιστοποίηση πακέτων και σχετικών μεταδεδομένων, έχετε έναν τρόπο να επαληθεύσετε ότι το περιεχόμενο δεν έχει παραβιαστεί κατά τη μεταφορά.
Συμπέρασμα
Τα πρότυπα, τα εργαλεία και οι βέλτιστες πρακτικές που αναφέρονται ευθυγραμμίζονται (και συμπληρώνουν) με το μοντέλο DevSecOps και θα συμβάλουν πολύ στην άμβλυνση των ανησυχιών για την ασφάλεια που συμβαδίζουν με τον γρήγορο ρυθμό ανάπτυξης που επιτρέπει η Kubernetes.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/cloud/kubernetes-software-supply-chain
- :έχει
- :είναι
- :δεν
- :που
- $UP
- a
- ικανότητα
- Σχετικα
- πρόσβαση
- Ενέργειες
- δραστήρια
- πραγματικός
- Επιπλέον
- Πρόσθετος
- Επιπλέον πληροφορίες
- ευθυγράμμιση
- ομοίως
- Όλα
- Επίσης
- μεταβάλλεται
- μεταξύ των
- an
- ανάλυση
- και
- Άλλος
- απάντηση
- κάθε
- Εφαρμογή
- εφαρμογές
- ΕΙΝΑΙ
- γύρω
- AS
- εκτιμώ
- συσχετισμένη
- At
- Αυτοματοποιημένη
- Αυτοματοποίηση
- βασίζονται
- BE
- ήταν
- είναι
- ευεργετική
- ΚΑΛΎΤΕΡΟΣ
- βέλτιστες πρακτικές
- Πέρα
- Μεγαλύτερη
- Γραμμάτια
- και οι δύο
- γενικά
- χτίζω
- Χτίζει
- χτισμένο
- αλλά
- by
- CAN
- δεν μπορώ
- αλυσίδα
- προκλήσεις
- πρόκληση
- έλεγχοι
- κωδικός
- Ελάτε
- έρχεται
- Εταιρείες
- Συμπλήρωμα
- εξαρτήματα
- Ανησυχία
- ενδιαφερόμενος
- Πιθανά ερωτήματα
- θεωρούνται
- Καταναλωτές
- Δοχείο
- περιεχόμενο
- έλεγχος
- ελέγχους
- πυρήνας
- Πορεία
- δημιουργία
- επιμέλεια
- Ρεύμα
- πελάτης
- Πελάτες
- ημερομηνία
- Ημερομηνία
- συμφωνία
- αποφάσεις
- Καθυστέρηση
- παραδίδεται
- ανάπτυξη
- σχεδιασμένα
- Προσδιορίστε
- καθορίζοντας
- αναπτύχθηκε
- προγραμματιστές
- Ανάπτυξη
- ψηφιακό
- έγγραφο
- τεκμηρίωση
- έγγραφα
- κάνει
- δυο
- αποτελεσματικά
- δίνει τη δυνατότητα
- τέλος
- επιβολή
- γεννώ
- Μηχανική
- εξασφαλίζω
- εξασφαλίζοντας
- Περιβάλλον
- ειδικά
- αξιολογώντας
- Even
- παράδειγμα
- ανταλλαγή
- ύπαρξη
- εμπειρία
- έμπειρος
- Εκμεταλλεύομαι
- Κακοποιημένα
- εκτεθειμένος
- επέκταση
- ευρήματα
- Φωτιά
- Όνομα
- εστιάζοντας
- Για
- Βρέθηκαν
- από
- Κέρδος
- κερδίζει
- να πάρει
- δεδομένου
- σφαίρα
- Go
- πηγαίνει
- εξαιρετική
- μεγαλύτερη
- Ήμισυ
- χέρι
- συμβαίνω
- καπέλο
- Έχω
- βοήθεια
- βοηθά
- Ωστόσο
- HTTPS
- προσδιορίζονται
- εικόνες
- άμεσος
- Επίπτωση
- σημαντικό
- in
- περιστατικό
- περιλαμβάνει
- όλο και περισσότερο
- βιομηχανία
- πληροφορίες
- ενημερώνεται
- ακεραιότητα
- απομόνωση
- θέματα
- IT
- jpg
- Κλειδί
- Ξέρω
- γνωστός
- large
- μόχλευσης
- βιβλιοθήκες
- Μου αρέσει
- λίστα
- log4j
- Μακριά
- off
- που
- κάνω
- διαχείριση
- χάρτη
- υλικά
- που αναφέρθηκαν
- Μεταδεδομένα
- ενδέχεται να
- νου
- μοντέλο
- περισσότερο
- πλέον
- πολλαπλούς
- σχεδόν
- Ανάγκη
- που απαιτούνται
- Σημειώνεται
- κοινοποίηση
- σημειώνοντας
- αριθμοί
- of
- on
- μια φορά
- ONE
- αποκλειστικά
- ανοίξτε
- ανοικτού κώδικα
- or
- ενορχήστρωση
- οργανώσεις
- Άλλα
- Ειρήνη
- πακέτο
- Packages
- μέρος
- κομμάτι
- αγωγού
- Μέρος
- πλατφόρμες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- παίζει
- πολιτική
- πρακτικές
- παρόν
- αρχές
- ιεράρχηση
- Δώστε προτεραιότητα
- Προληπτική
- Προϊόντα
- επαγγελματίες
- προέλευση
- παρέχουν
- παρέχεται
- Παρόχους υπηρεσιών
- χορήγηση
- δημόσιο
- ποιότητα
- ερώτηση
- γρήγορα
- μάλλον
- RE
- Red
- Red Hat
- αντικατοπτρίζει
- βασίζονται
- αναφέρουν
- Αποθήκη
- απαιτείται
- ερωτηθέντες
- έσοδα
- Ρόλος
- τρέξιμο
- s
- προστατευμένο περιβάλλον
- ασφάλεια
- ασφάλεια
- φαίνομαι
- επιλογή
- Υπηρεσίες
- σειρά
- καταστήματα
- θα πρέπει να
- Υπογραφές
- λογισμικό
- Προγραμματιστές λογισμικού
- μερικοί
- κάτι
- Πηγή
- πρωτογενής κώδικας
- συγκεκριμένες
- πρότυπα
- Κατάσταση
- Κατάσταση
- Βήμα
- στρατηγικές
- Στρατηγική
- προμήθεια
- αλυσίδας εφοδιασμού
- Έρευνες
- συστήματα
- ομάδες
- Τεχνολογία
- πρότυπα
- από
- ότι
- Η
- οι πληροφορίες
- τους
- Τους
- Εκεί.
- Αυτοί
- αυτοί
- πράγμα
- Τρίτος
- αυτό
- εκείνοι
- παντού
- σφίξιμο
- προς την
- εργαλεία
- κορυφή
- προς
- διαμετακόμιση
- Εμπιστευθείτε
- Έμπιστος
- έχων πίστη
- δυο τριτα
- υπό
- χρήση
- μεταχειρισμένος
- Χρήστες
- χρησιμοποιώντας
- αξία
- επαληθεύεται
- επαληθεύει
- πολύ
- μέσω
- Θέματα ευπάθειας
- ευπάθεια
- Ευάλωτες
- περιμένετε
- Ενταλμα
- Τρόπος..
- ήταν
- πότε
- ενώ
- αν
- Ποιό
- ενώ
- θα
- με
- εντός
- χωρίς
- θα
- Εσείς
- zephyrnet