La capacidad de las organizaciones para obtener valor de Kubernetes (y, en términos más generales, de la tecnología nativa de la nube) se ve obstaculizada por preocupaciones en torno a la seguridad. Una de las mayores preocupaciones refleja uno de los mayores desafíos actuales de la industria: asegurar la cadena de suministro de software.
Red Hat's”Informe del estado de Kubernetes de 2023" encontrado que Seguridad de Kubernetes está en duda en algunas empresas. Basado en una encuesta de profesionales de DevOps, ingeniería y seguridad de todo el mundo, el informe encuentra que el 67 % de los encuestados ha retrasado o ralentizado la implementación debido a problemas de seguridad de Kubernetes, el 37 % ha experimentado pérdida de ingresos o clientes debido a un contenedor/Kubernetes incidente de seguridad, y el 38% cita la seguridad como una de las principales preocupaciones con las estrategias de contenedores y Kubernetes.
La cadena de suministro de software está cada vez más bajo fuego, y las tiendas de Kubernetes están sintiendo el calor. Cuando se les preguntó qué problemas específicos de seguridad de la cadena de suministro de software les preocupaban más, los encuestados de Red Hat señalaron:
- Componentes de aplicaciones vulnerables (32 %)
- Controles de acceso insuficientes (30%)
- Falta de listas de materiales de software (SBOM) o procedencia (29%)
- Falta de automatización (29%)
- Falta de auditabilidad (28%)
- Imágenes de contenedores inseguros (27 %)
- Aplicación inconsistente de políticas (24%)
- Debilidades de canalización de CI/CD (19 %)
- Plantillas IaC inseguras (19 %)
- Debilidades en el control de versiones (17 %)
Estas preocupaciones parecen estar bien fundadas entre los encuestados, y más de la mitad señaló que tienen experiencia de primera mano con casi todos ellos, especialmente los componentes de aplicaciones vulnerables y las debilidades de la canalización de CI/CD.
Existe una gran superposición entre estos problemas, pero las organizaciones pueden minimizar las preocupaciones sobre todos ellos centrándose en una cosa: el contenido confiable.
La capacidad de confiar en el contenido se está volviendo cada vez más desafiante a medida que más y más organizaciones usan código fuente abierto para el desarrollo nativo de la nube. Más de dos tercios del código de la aplicación se hereda de las dependencias de código abierto, y confiar en ese código es clave para reforzar la seguridad de la aplicación y la plataforma y, por extensión, obtener el máximo valor de la plataforma de orquestación de contenedores.
De hecho, las organizaciones no pueden crear productos y servicios confiables a menos que puedan confiar en el código utilizado para construirlos. Las listas de materiales de software están diseñadas para ayudar a garantizar la procedencia del código, pero no deben usarse de forma aislada. Más bien, los SBOM deben considerarse como parte de una estrategia múltiple para asegurar la cadena de suministro de software, con contenido confiable en el centro.
Ningún SBOM es una isla
Los SBOM proporcionan la información que los desarrolladores necesitan para tomar decisiones informadas sobre los componentes que están aprovechando. Esto es especialmente importante ya que los desarrolladores extraen de múltiples repositorios y bibliotecas de código abierto para crear aplicaciones. Sin embargo, la existencia misma de un SBOM no garantiza la integridad. Por un lado, un SBOM es tan beneficioso como actualizado y verificable. Por otro lado, enumerar todos los componentes de una pieza de software es solo el primer paso. Una vez que conozca los componentes, debe determinar si existen problemas conocidos para esos componentes.
Los desarrolladores necesitan información inicial de calidad y seguridad sobre los componentes de software que están seleccionando. Tanto los proveedores de software como los consumidores deberían centrarse en compilaciones seleccionadas y bibliotecas de código abierto reforzadas que se hayan verificado y atestiguado con verificaciones de procedencia. La tecnología de firma digital juega un papel importante para garantizar que un artefacto de software no se haya alterado de ninguna manera mientras se encuentra en tránsito desde el depósito público hasta el entorno del usuario final.
Por supuesto, incluso con todo esto en su lugar, ocurren vulnerabilidades. Y, dada la gran cantidad de vulnerabilidades identificadas en todo el conjunto de software en el que confían los desarrolladores, se necesita información adicional para ayudar a los equipos a evaluar el impacto real de una vulnerabilidad conocida.
Problemas VEX
Algunos temas tienen un mayor impacto que otros. Ahí es donde entra en juego VEX, o Vulnerability Exploitability eXchange. A través de un documento VEX legible por máquina, los proveedores de software pueden informar la explotabilidad de las vulnerabilidades que se encuentran dentro de las dependencias de sus productos, de manera óptima, utilizando análisis de vulnerabilidades proactivos y automatizados y sistemas de notificación.
Tenga en cuenta que VEX va más allá de proporcionar datos y estado de vulnerabilidad; también incluye información de explotabilidad. VEX ayuda a responder la pregunta: ¿Se ha explotado activamente esta vulnerabilidad? Esto permite a los clientes priorizar y administrar de manera efectiva la remediación. Algo como Log4j garantizaría una acción inmediata, por ejemplo, mientras que una vulnerabilidad sin un exploit conocido podría esperar. Se pueden tomar decisiones de priorización adicionales en función de determinar si un paquete está presente pero no se usa ni se expone.
Atestación: la tercera pata del taburete
Además de la documentación de SBOM y VEX, se requiere la certificación del paquete para generar confianza en el contenido.
Debe saber que el código que está utilizando se desarrolla, selecciona y crea teniendo en cuenta los principios de seguridad, y se entrega con los metadatos que necesita para verificar la procedencia y el contenido. Cuando se proporcionan documentos SBOM y VEX, tiene una forma de asignar vulnerabilidades conocidas a los componentes de software en el paquete que está evaluando, sin necesidad de ejecutar un escáner de vulnerabilidades. Cuando se utilizan firmas digitales para la atestación de paquetes y metadatos asociados, tiene una forma de verificar que el contenido no haya sido alterado en tránsito.
Conclusión
Los estándares, las herramientas y las mejores prácticas mencionados se alinean con (y complementan) el modelo DevSecOps, y contribuirán en gran medida a aliviar las preocupaciones de seguridad que van de la mano con el rápido ritmo de implementación que permite Kubernetes.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
- Fuente: https://www.darkreading.com/cloud/kubernetes-software-supply-chain
- :posee
- :es
- :no
- :dónde
- $ UP
- a
- capacidad
- Nuestra Empresa
- de la máquina
- la columna Acción
- activamente
- real
- adición
- Adicionales
- Información adicional
- alinear
- igual
- Todos
- también
- alterado
- entre
- an
- análisis
- y
- Otra
- https://www.youtube.com/watch?v=xB-eutXNUMXJtA&feature=youtu.be
- cualquier
- Aplicación
- aplicaciones
- somos
- en torno a
- AS
- evaluar
- asociado
- At
- Confirmación de Viaje
- Automatización
- basado
- BE
- esto
- "Ser"
- beneficioso
- MEJOR
- y las mejores prácticas
- Más allá de
- Mayor
- Billetes
- ambas
- en general
- build
- construye
- construido
- pero
- by
- PUEDEN
- no puede
- cadena
- retos
- desafiante
- Cheques
- código
- cómo
- proviene
- Empresas
- Complemento
- componentes
- Protocolo de Tratamiento
- preocupado
- Inquietudes
- considerado
- Clientes
- Envase
- contenido
- control
- controles
- Core
- Curso
- Para crear
- comisariada
- Current
- cliente
- Clientes
- datos
- Fecha
- acuerdo
- decisiones
- Retrasado
- liberado
- despliegue
- diseñado
- Determinar
- determinar
- desarrollado
- desarrolladores
- Desarrollo
- digital
- documento
- documentación
- documentos
- sí
- dos
- de manera eficaz
- permite
- final
- cumplimiento
- engendrar
- Ingeniería
- garantizar
- asegurando que
- Entorno
- especialmente
- evaluación
- Incluso
- ejemplo
- Intercambio
- existencia
- experience
- experimentado
- Explotar
- Explotado
- expuesto
- extensión
- encuentra
- Incendió
- Nombre
- enfoque
- encontrado
- Desde
- Obtén
- ganando
- conseguir
- dado
- globo
- Go
- Va
- maravillosa
- mayor
- A Mitad
- mano
- suceder
- ¿Qué
- Tienen
- ayuda
- ayuda
- Sin embargo
- HTTPS
- no haber aun identificado una solucion para el problema
- imágenes
- inmediata
- Impacto
- importante
- in
- incidente
- incluye
- cada vez más
- energético
- información
- informó
- integridad
- solo
- cuestiones
- IT
- jpg
- Clave
- Saber
- conocido
- large
- aprovechando
- bibliotecas
- como
- listado
- log4j
- Largo
- de
- hecho
- para lograr
- gestionan
- mapa
- materiales
- mencionado
- metadatos
- podría
- mente
- modelo
- más,
- MEJOR DE TU
- múltiples
- hace casi
- ¿ Necesita ayuda
- señaló
- .
- señalando
- números
- of
- on
- una vez
- ONE
- , solamente
- habiertos
- de código abierto
- or
- orquestación
- para las fiestas.
- Otros
- Paz
- paquete
- paquetes
- parte
- pieza
- industrial
- Colocar
- plataforma
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- juega
- política
- prácticas
- presente
- principios
- priorización
- priorizar
- Proactiva
- Productos
- profesionales
- procedencia
- proporcionar
- previsto
- los proveedores
- proporcionando
- público
- calidad
- pregunta
- rápido
- más bien
- RE
- Rojo
- Red Hat
- refleja
- confiar
- reporte
- repositorio
- Requisitos
- encuestados
- ingresos
- Función
- Ejecutar
- s
- seguro
- asegurar
- EN LINEA
- parecer
- seleccionar
- Servicios
- set
- tiendas
- tienes
- Firmas
- Software
- Desarrolladores de software
- algo
- algo
- Fuente
- código fuente
- soluciones y
- estándares de salud
- Estado
- Estado
- paso
- estrategias
- Estrategia
- suministro
- cadena de suministro
- Peritaje
- Todas las funciones a su disposición
- equipos
- Tecnología
- plantillas
- que
- esa
- La
- la información
- su
- Les
- Ahí.
- Estas
- ellos
- cosa
- Código
- así
- aquellos
- a lo largo de
- apretando
- a
- parte superior
- hacia
- tránsito
- Confía en
- de confianza
- confiando en
- dos tercios
- bajo
- utilizan el
- usado
- Usuario
- usando
- propuesta de
- verificadas
- verificar
- muy
- vía
- Vulnerabilidades
- vulnerabilidad
- Vulnerable
- esperar
- Orden
- Camino..
- tuvieron
- cuando
- mientras
- sean
- que
- mientras
- seguirá
- dentro de
- sin
- se
- Usted
- zephyrnet