Organisaatioiden kykyä saada lisäarvoa Kubernetesista – ja laajemmin pilvipohjaisesta teknologiasta – haittaavat turvallisuuteen liittyvät huolenaiheet. Yksi suurimmista huolenaiheista kuvastaa yhtä alan suurimmista tämän hetken haasteista: ohjelmistojen toimitusketjun turvaamisesta.
Red Hat'sVuoden 2023 Kubernetesin tilaraportti"löysi sen Kubernetesin tietoturva on kyseenalaistettu joissakin yrityksissä. DevOps-, suunnittelu- ja tietoturva-ammattilaisia ympäri maailmaa koskevaan kyselyyn perustuen raportti toteaa, että 67 % vastaajista on viivästyttänyt tai hidastanut käyttöönottoa Kubernetesin turvallisuussyistä ja 37 %:lla on ollut tuloja tai asiakasmenetyksiä kontin/Kubernetesin takia. turvallisuushäiriö, ja 38 % mainitsee turvallisuuden kontti- ja Kubernetes-strategioiden tärkeimpänä huolenaiheena.
Ohjelmistojen toimitusketju on joutunut yhä useammin tulen kohteeksi, ja Kubernetes-liikkeet tuntevat kuumuuden. Kun Red Hat -tutkimukseen vastaajilta kysyttiin, mitkä ohjelmistojen toimitusketjun tietoturvaongelmat he olivat eniten huolissaan, he totesivat:
- Haavoittuvat sovelluskomponentit (32 %)
- Riittämättömät pääsysäädöt (30 %)
- Ohjelmiston materiaalilaskujen (SBOM) tai alkuperän (29 %) puute
- Automatisoinnin puute (29 %)
- Tarkastettavuuden puute (28 %)
- Epäturvalliset säilökuvat (27 %)
- Epäjohdonmukainen käytäntöjen täytäntöönpano (24 %)
- CI/CD-putkien heikkoudet (19 %)
- Epäturvalliset IaC-mallit (19 %)
- Versionhallinnan heikkoudet (17 %)
Nämä huolenaiheet näyttävät perustelluilta vastaajien keskuudessa, ja yli puolet totesi, että heillä on omakohtaista kokemusta lähes kaikista niistä – erityisesti haavoittuvista sovelluskomponenteista ja CI/CD-putkien heikkouksista.
Näissä asioissa on paljon päällekkäisyyksiä, mutta organisaatiot voivat minimoida huolensa niistä kaikista keskittymällä yhteen asiaan: luotettuun sisältöön.
Kyky luottaa sisältöön on entistä haastavampaa, kun yhä useammat organisaatiot käyttävät avointa lähdekoodia pilvipohjaiseen kehittämiseen. Yli kaksi kolmasosaa sovelluskoodista on peritty avoimen lähdekoodin riippuvuuksista, ja luottaminen siihen, että koodi on avainasemassa sovellusten ja alustan turvallisuuden tiukentamisessa ja sitä kautta suurimman arvon saamisessa kontin orkestrointialustasta.
Organisaatiot eivät todellakaan voi luoda luotettavia tuotteita ja palveluita, elleivät ne voi luottaa niiden luomiseen käytettyyn koodiin. Ohjelmiston materiaaliluettelot on suunniteltu varmistamaan koodin alkuperä, mutta niitä ei tule käyttää erillään. Pikemminkin SBOM:ita tulisi pitää osana monitahoista strategiaa, jolla turvataan ohjelmistojen toimitusketju, jonka ytimessä on luotettava sisältö.
No SBOM ei ole saari
SBOM:t tarjoavat tiedot, joita kehittäjät tarvitsevat tehdäkseen tietoisia päätöksiä käyttämistään komponenteista. Tämä on erityisen tärkeää, koska kehittäjät hakevat useista avoimen lähdekoodin tietovarastoista ja kirjastoista rakentaakseen sovelluksia. SBOM:n olemassaolo ei kuitenkaan takaa eheyttä. Ensinnäkin an SBOM on vain niin hyödyllinen kuin se on ajan tasalla ja todennettavissa. Toisaalta ohjelmiston kaikkien komponenttien luettelointi on vasta ensimmäinen askel. Kun tiedät komponentit, sinun on selvitettävä, onko näissä komponenteissa tunnettuja ongelmia.
Kehittäjät tarvitsevat alustavia laatu- ja turvallisuustietoja valitsemistaan ohjelmistokomponenteista. Sekä ohjelmistotoimittajien että kuluttajien tulisi keskittyä kuratoituihin koontiversioihin ja kovetettuihin avoimen lähdekoodin kirjastoihin, jotka on varmennettu ja todistettu alkuperätarkastuksilla. Digitaalisen allekirjoituksen teknologialla on tärkeä rooli sen varmistamisessa, että ohjelmistoartefaktia ei ole muutettu millään tavalla sen siirtämisen aikana julkisesta arkistosta loppukäyttäjän ympäristöön.
Tietenkin, vaikka tämä kaikki olisi paikallaan, haavoittuvuuksia tapahtuu. Ja koska ohjelmistokehittäjien luottamien haavoittuvuuksien suuri määrä on tunnistettu, tarvitaan lisätietoja, jotta työryhmät voivat arvioida tunnetun haavoittuvuuden todellisia vaikutuksia.
VEX-ongelmat
Joillakin asioilla on suurempi vaikutus kuin toisilla. Siellä VEX – tai Vulnerability Exploitability eXchange – tulee mukaan. Koneluettavalla VEX-asiakirjalla ohjelmistotoimittajat voivat raportoida tuotteidensa riippuvuuksista löydettyjen haavoittuvuuksien hyödynnettävyydestä – optimaalisesti käyttämällä ennakoivia ja automatisoituja haavoittuvuusanalyysi- ja ilmoitusjärjestelmiä.
Huomaa, että VEX ylittää haavoittuvuustietojen ja tilan tarjoamisen; se sisältää myös hyödynnettävyystiedot. VEX auttaa vastaamaan kysymykseen: Onko tätä haavoittuvuutta hyödynnetty aktiivisesti? Näin asiakkaat voivat priorisoida ja hallita tehokkaasti korjaamista. Jotain Log4j:n kaltaista oikeuttaisi esimerkiksi välittömiin toimiin, kun taas haavoittuvuus ilman tunnettua hyväksikäyttöä saattaa odottaa. Lisäpriorisointipäätöksiä voidaan tehdä sen perusteella, onko pakkaus mukana, mutta sitä ei käytetä tai paljastetaan.
Todistus: Jakkaran kolmas jalka
SBOM- ja VEX-dokumentaation lisäksi tarvitaan paketin todistus, jotta sisältöön syntyy luottamus.
Sinun on tiedettävä, että käyttämäsi koodi on kehitetty, kuratoitu ja rakennettu turvallisuusperiaatteet huomioon ottaen, ja se toimitetaan metatietojen kanssa, joita tarvitset alkuperän ja sisällön tarkistamiseen. Kun sekä SBOM- että VEX-asiakirjat toimitetaan, voit kartoittaa tunnetut haavoittuvuudet arvioitavan paketin ohjelmistokomponentteihin ilman, että sinun tarvitsee suorittaa haavoittuvuustarkistusta. Kun digitaalisia allekirjoituksia käytetään pakettien ja niihin liittyvien metatietojen todentamiseen, sinulla on tapa varmistaa, että sisältöä ei ole peukaloitu kuljetuksen aikana.
Yhteenveto
Mainitut standardit, työkalut ja parhaat käytännöt ovat yhdenmukaisia DevSecOps-mallin kanssa (ja täydentävät sitä), ja ne auttavat merkittävästi lievittämään turvallisuusongelmia, jotka kulkevat käsi kädessä Kubernetesin nopean käyttöönoton kanssa.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
- Lähde: https://www.darkreading.com/cloud/kubernetes-software-supply-chain
- :on
- :On
- :ei
- :missä
- $ YLÖS
- a
- kyky
- Meistä
- pääsy
- Toiminta
- aktiivisesti
- todellinen
- Lisäksi
- lisä-
- lisäinformaatio
- kohdista
- samoin
- Kaikki
- Myös
- muuttunut
- keskuudessa
- an
- analyysi
- ja
- Toinen
- vastaus
- Kaikki
- Hakemus
- sovellukset
- OVAT
- noin
- AS
- arvioida
- liittyvä
- At
- Automatisoitu
- Automaatio
- perustua
- BE
- ollut
- ovat
- suotuisa
- PARAS
- parhaat käytännöt
- Jälkeen
- Suurimmat
- Setelit
- sekä
- laajasti
- rakentaa
- rakentaa
- rakennettu
- mutta
- by
- CAN
- ei voi
- ketju
- haasteet
- haastava
- Tarkastukset
- koodi
- Tulla
- tulee
- Yritykset
- Täydentää
- osat
- Koskea
- huolestunut
- huolenaiheet
- harkittu
- Kuluttajat
- Kontti
- pitoisuus
- ohjaus
- valvonta
- Ydin
- Kurssi
- luoda
- kuratoitu
- Nykyinen
- asiakas
- Asiakkaat
- tiedot
- Päivämäärä
- sopimus
- päätökset
- Myöhässä
- toimitettu
- käyttöönotto
- suunniteltu
- Määrittää
- määritetään
- kehitetty
- kehittäjille
- Kehitys
- digitaalinen
- asiakirja
- dokumentointi
- asiakirjat
- ei
- kaksi
- tehokkaasti
- mahdollistaa
- loppu
- täytäntöönpano
- synnyttää
- Tekniikka
- varmistaa
- varmistamalla
- ympäristö
- erityisesti
- arviointiin
- Jopa
- esimerkki
- Vaihdetaan
- olemassaolo
- experience
- kokenut
- Käyttää hyväkseen
- hyödynnetään
- avoin
- laajentaminen
- löydöt
- Tulipalo
- Etunimi
- tarkennus
- varten
- löytyi
- alkaen
- Saada
- saamassa
- saada
- tietty
- maapallo
- Go
- Goes
- suuri
- suurempi
- Puoli
- käsi
- tapahtua
- hattu
- Olla
- auttaa
- auttaa
- Kuitenkin
- HTTPS
- tunnistettu
- kuvien
- Välitön
- Vaikutus
- tärkeä
- in
- tapaus
- sisältää
- yhä useammin
- teollisuus
- tiedot
- tietoa
- eheys
- eristäminen
- kysymykset
- IT
- jpg
- avain
- Tietää
- tunnettu
- suuri
- vipuvaikutuksen
- kirjastot
- pitää
- listaus
- log4j
- Pitkät
- pois
- tehty
- tehdä
- hoitaa
- kartta
- tarvikkeet
- mainitsi
- Metadata
- ehkä
- mielessä
- malli
- lisää
- eniten
- moninkertainen
- lähes
- Tarve
- tarvitaan
- huomattava
- ilmoituksen
- huomata
- numerot
- of
- on
- kerran
- ONE
- vain
- avata
- avoimen lähdekoodin
- or
- orkestrointi
- organisaatioiden
- Muuta
- Rauha
- paketti
- paketit
- osa
- kappale
- putki
- Paikka
- foorumi
- Platon
- Platonin tietotieto
- PlatonData
- soittaa
- politiikka
- käytännöt
- esittää
- periaatteet
- priorisointi
- Asettaa etusijalle
- Ennakoiva
- Tuotteemme
- ammattilaiset
- alkuperä
- toimittaa
- mikäli
- tarjoajat
- tarjoamalla
- julkinen
- laatu
- kysymys
- nopea
- pikemminkin
- RE
- punainen
- Red Hat
- heijastaa
- luottaa
- raportti
- säilytyspaikka
- tarvitaan
- vastaajat
- tulot
- Rooli
- ajaa
- s
- turvallinen
- turvaaminen
- turvallisuus
- näyttää
- valitsemalla
- Palvelut
- setti
- kaupat
- shouldnt
- allekirjoitukset
- Tuotteemme
- Ohjelmistokehittäjät
- jonkin verran
- jotain
- lähde
- lähdekoodi
- erityinen
- standardit
- Osavaltio
- Tila
- Vaihe
- strategiat
- Strategia
- toimittaa
- toimitusketju
- Tutkimus
- järjestelmät
- tiimit
- Elektroniikka
- malleja
- kuin
- että
- -
- tiedot
- heidän
- Niitä
- Siellä.
- Nämä
- ne
- asia
- kolmas
- tätä
- ne
- kauttaaltaan
- kiristys
- että
- työkalut
- ylin
- kohti
- kauttakulku
- Luottamus
- luotettu
- luottavainen
- kaksi kolmasosaa
- varten
- käyttää
- käytetty
- käyttäjä
- käyttämällä
- arvo
- todennettu
- todentaa
- hyvin
- kautta
- haavoittuvuuksia
- alttius
- Haavoittuva
- odottaa
- oikeuttaa
- Tapa..
- olivat
- kun
- taas
- onko
- joka
- vaikka
- tulee
- with
- sisällä
- ilman
- olisi
- Voit
- zephyrnet