Turvalisusega seotud mured takistavad organisatsioonide võimet saada Kubernetesest – ja laiemalt pilvepõhisest tehnoloogiast – väärtust. Üks suurimaid murekohti peegeldab tööstuse üht suurimat praegust väljakutset: tarkvara tarneahela kindlustamine.
Red Hat's2023. aasta Kubernetese seisuaruanne" leidis, et Kubernetese turvalisus on mõnes ettevõttes kõne all. Tuginedes DevOpsi, inseneri- ja turbespetsialistide küsitlusele kogu maailmast, leitakse aruandes, et 67% vastajatest on Kubernetese turvaprobleemide tõttu juurutamist edasi lükanud või aeglustanud, 37% on konteineri/Kubernetese tõttu saanud tulu või klientide kaotust. turvaintsident ja 38% nimetab turvalisust konteinerite ja Kubernetese strateegiate suurimaks probleemiks.
Tarkvara tarneahel on üha enam löögi alla sattunud ja Kubernetese poed tunnevad kuumust. Kui küsiti, millised konkreetsed tarkvara tarneahela turbeprobleemid neile kõige rohkem muret valmistasid, märkisid Red Hati uuringule vastajad:
- Haavatavad rakenduse komponendid (32%)
- Ebapiisavad juurdepääsukontrollid (30%)
- Tarkvara materjalide arvete (SBOM) või päritolu puudumine (29%)
- Automatiseerimise puudumine (29%)
- Auditeeritavuse puudumine (28%)
- Ebaturvalised konteineri kujutised (27%)
- Ebajärjekindel eeskirjade jõustamine (24%)
- CI/CD torujuhtme nõrkused (19%)
- Ebaturvalised IaC mallid (19%)
- Versioonikontrolli puudused (17%)
Need mured tunduvad vastajate seas põhjendatud, enam kui pooled märkisid, et neil on peaaegu kõigiga neist vahetu kogemus – eriti haavatavate rakenduskomponentide ja CI/CD konveieri nõrkuste kohta.
Need probleemid kattuvad suurel määral, kuid organisatsioonid saavad muret nende kõigi pärast minimeerida, keskendudes ühele asjale: usaldusväärsele sisule.
Sisu usaldamine muutub üha keerulisemaks, kuna üha enam organisatsioone kasutab pilvepõhise arenduse jaoks avatud lähtekoodi. Rohkem kui kaks kolmandikku rakenduse koodist on päritud avatud lähtekoodiga sõltuvustest ja selle koodi usaldamine on võtmetähtsusega rakenduste ja platvormide turvalisuse tugevdamisel ning selle kaudu konteinerite orkestreerimisplatvormist suurima väärtuse saamiseks.
Tõepoolest, organisatsioonid ei saa luua usaldusväärseid tooteid ja teenuseid enne/kuni nad ei saa usaldada nende koostamiseks kasutatud koodi. Tarkvara materjalide arved on loodud selleks, et tagada koodi päritolu, kuid neid ei tohiks kasutada eraldi. Pigem tuleks SBOM-e käsitleda osana mitmekülgsest strateegiast, mille eesmärk on tagada tarkvara tarneahel, mille keskmes on usaldusväärne sisu.
No SBOM ei ole saar
SBOM-id pakuvad teavet, mida arendajad vajavad teadlike otsuste tegemiseks kasutatavate komponentide kohta. See on eriti oluline, kuna arendajad kasutavad rakenduste loomiseks mitut avatud lähtekoodiga hoidlast ja teeki. SBOM-i olemasolu ei taga aga terviklikkust. Esiteks an SBOM on ainult nii kasulik, kuivõrd see on ajakohane ja kontrollitav. Teise jaoks on tarkvara kõigi komponentide loetlemine alles esimene samm. Kui olete komponendid tundnud, peate kindlaks tegema, kas nende komponentidega on teadaolevaid probleeme.
Arendajad vajavad esialgset kvaliteedi- ja turvateavet nende tarkvarakomponentide kohta, mida nad valivad. Tarkvarapakkujad ja tarbijad peaksid keskenduma kureeritud järgudele ja kõvastunud avatud lähtekoodiga raamatukogudele, mis on kontrollitud ja tõendatud päritolukontrolliga. Digitaalallkirja tehnoloogial on oluline roll selle tagamisel, et tarkvara artefakti ei ole avalikust hoidlast lõppkasutaja keskkonda edastamise ajal mingil viisil muudetud.
Muidugi, isegi kui see kõik on paigas, ilmnevad haavatavused. Ja arvestades, et tarkvaraarendajate hulgas on tuvastatud turvaaukude suurt hulka, on vaja lisateavet, et aidata meeskondadel hinnata teadaoleva haavatavuse tegelikku mõju.
VEX-i probleemid
Mõnel probleemil on suurem mõju kui teistel. See on koht, kus VEX – või haavatavuse ärakasutamise vahetus – tuleb sisse. Tarkvarapakkujad saavad masinloetava VEX-dokumendi kaudu teatada oma toodete sõltuvustes leitud turvaaukude kasutatavusest – optimaalselt, kasutades ennetavat ja automatiseeritud haavatavuse analüüsi ja teavitussüsteeme.
Pange tähele, et VEX ulatub haavatavuse andmete ja oleku pakkumisest kaugemale; see sisaldab ka teavet kasutatavuse kohta. VEX aitab vastata küsimusele: kas seda haavatavust on aktiivselt ära kasutatud? See võimaldab klientidel parandustöid prioriteete seada ja tõhusalt hallata. Midagi nagu Log4j nõuaks näiteks viivitamatut tegutsemist, samas kui haavatavus ilma teadaoleva ärakasuta võib oodata. Täiendavaid prioriseerimisotsuseid saab teha selle põhjal, kas pakend on olemas, kuid seda ei ole kasutatud ega eksponeeritud.
Tunnistus: Taburetti kolmas jalg
Lisaks SBOM-idele ja VEX-dokumentatsioonile on sisu vastu usalduse tekitamiseks nõutav paketi kinnitus.
Peate teadma, et kasutatav kood on välja töötatud, kureeritud ja koostatud turvapõhimõtteid silmas pidades ning tarnitakse koos metaandmetega, mida vajate päritolu ja sisu kontrollimiseks. Kui on olemas nii SBOM-id kui ka VEX-dokumendid, saate teadaolevad haavatavused kaardistada hinnatava paketi tarkvarakomponentidega, ilma et peaksite käivitama haavatavuse skannerit. Kui pakettide ja nendega seotud metaandmete kinnitamiseks kasutatakse digitaalallkirju, on teil võimalus kontrollida, et sisu pole edastamisel rikutud.
Järeldus
Mainitud standardid, tööriistad ja parimad tavad ühtivad DevSecOpsi mudeliga (ja täiendavad seda) ning aitavad oluliselt leevendada turvaprobleeme, mis käivad käsikäes Kubernetesi võimaldatava kiire kasutuselevõtu tempoga.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
- Allikas: https://www.darkreading.com/cloud/kubernetes-software-supply-chain
- :on
- :on
- :mitte
- : kus
- $ UP
- a
- võime
- MEIST
- juurdepääs
- tegevus
- aktiivselt
- tegelik
- lisamine
- Täiendavad lisad
- Tooteinfo
- viia
- sama
- Materjal: BPA ja flataatide vaba plastik
- Ka
- muuta
- vahel
- an
- analüüs
- ja
- Teine
- vastus
- mistahes
- taotlus
- rakendused
- OLEME
- ümber
- AS
- hinnata
- seotud
- At
- Automatiseeritud
- Automaatika
- põhineb
- BE
- olnud
- on
- kasulik
- BEST
- parimaid tavasid
- Peale
- suurim
- Arved
- mõlemad
- üldjoontes
- ehitama
- Ehitab
- ehitatud
- kuid
- by
- CAN
- ei saa
- kett
- väljakutseid
- raske
- Kontroll
- kood
- Tulema
- tuleb
- Ettevõtted
- Täiendus
- komponendid
- Murettekitav
- mures
- Murettekitav
- kaaluda
- Tarbijad
- Konteiner
- sisu
- kontrollida
- kontrolli
- tuum
- Kursus
- looma
- kureeritud
- Praegune
- klient
- Kliendid
- andmed
- kuupäev
- tegelema
- otsused
- Hilineb
- esitatud
- kasutuselevõtu
- kavandatud
- Määrama
- määrates kindlaks
- arenenud
- Arendajad
- & Tarkvaraarendus
- digitaalne
- dokument
- dokumentatsioon
- dokumendid
- ei
- kaks
- tõhusalt
- võimaldab
- lõpp
- jõustamine
- tekitama
- Inseneriteadus
- tagama
- tagades
- keskkond
- eriti
- hindamine
- Isegi
- näide
- vahetamine
- olemasolu
- kogemus
- kogenud
- Ekspluateeri
- Exploited
- avatud
- laiendamine
- leiab
- Tulekahju
- esimene
- keskendumine
- eest
- avastatud
- Alates
- kasu
- kasumi saamine
- saamine
- antud
- maakera
- Go
- Goes
- suur
- suurem
- Pool
- käsi
- juhtuda
- müts
- Olema
- aitama
- aitab
- aga
- HTTPS
- tuvastatud
- pildid
- Vahetu
- mõju
- oluline
- in
- juhtum
- hõlmab
- üha rohkem
- tööstus
- info
- teavitatakse
- terviklikkuse
- isolatsioon
- küsimustes
- IT
- jpg
- Võti
- Teadma
- teatud
- suur
- võimendav
- raamatukogud
- nagu
- loetelu
- log4j
- Pikk
- kaotus
- tehtud
- tegema
- juhtima
- kaart
- materjalid
- mainitud
- Metaandmed
- võib
- meeles
- mudel
- rohkem
- kõige
- mitmekordne
- peaaegu
- Vajadus
- vaja
- märkida
- teade
- märkides
- numbrid
- of
- on
- kunagi
- ONE
- ainult
- avatud
- avatud lähtekoodiga
- or
- Korraldus
- organisatsioonid
- teised
- tempo
- pakend
- pakette
- osa
- tükk
- torujuhe
- Koht
- inimesele
- Platon
- Platoni andmete intelligentsus
- PlatoData
- mängib
- poliitika
- tavad
- esitada
- põhimõtted
- prioriteetide
- Prioriteet
- Proaktiivne
- Toodet
- spetsialistid
- päritolu
- anda
- tingimusel
- pakkujad
- pakkudes
- avalik
- kvaliteet
- küsimus
- kiire
- pigem
- RE
- Red
- Red Hat
- peegeldab
- lootma
- aru
- Hoidla
- nõutav
- vastanutest
- tulu
- Roll
- jooks
- s
- kindlustama
- kindlustada
- turvalisus
- tundub
- valides
- Teenused
- komplekt
- kauplused
- peaks
- Allkirjad
- tarkvara
- Tarkvaraarendajad
- mõned
- midagi
- allikas
- lähtekoodi
- konkreetse
- standardite
- riik
- olek
- Samm
- strateegiad
- Strateegia
- varustama
- tarneahelas
- Uuring
- süsteemid
- meeskonnad
- Tehnoloogia
- malle
- kui
- et
- .
- teave
- oma
- Neile
- Seal.
- Need
- nad
- asi
- Kolmas
- see
- need
- läbi kogu
- karmistamine
- et
- töövahendid
- ülemine
- suunas
- transiit
- Usalda
- Usaldatud
- usaldav
- kaks kolmandikku
- all
- kasutama
- Kasutatud
- Kasutaja
- kasutamine
- väärtus
- kinnitatud
- kontrollima
- väga
- kaudu
- Haavatavused
- haavatavus
- Haavatav
- ootama
- Käsk
- Tee..
- olid
- millal
- samas kui
- kas
- mis
- kuigi
- will
- koos
- jooksul
- ilma
- oleks
- sa
- sephyrnet