कुबेरनेट्स से मूल्य प्राप्त करने की संगठनों की क्षमता - और, अधिक व्यापक रूप से, क्लाउड-नेटिव तकनीक - सुरक्षा संबंधी चिंताओं के कारण बाधित हो रही है। सबसे बड़ी चिंताओं में से एक उद्योग की सबसे बड़ी मौजूदा चुनौतियों में से एक को दर्शाती है: सॉफ्टवेयर आपूर्ति श्रृंखला को सुरक्षित करना।
रेड हैट का "2023 कुबेरनेट्स राज्य रिपोर्ट" पाया गया कि कुबेरनेट्स सुरक्षा कुछ कंपनियों पर सवाल उठ रहे हैं। दुनिया भर के डेवऑप्स, इंजीनियरिंग और सुरक्षा पेशेवरों के सर्वेक्षण के आधार पर, रिपोर्ट में पाया गया है कि 67% उत्तरदाताओं ने कुबेरनेट्स सुरक्षा चिंताओं के कारण तैनाती में देरी या धीमी गति से काम किया है, 37% ने कंटेनर/कुबेरनेट्स के कारण राजस्व या ग्राहक हानि का अनुभव किया है सुरक्षा घटना, और 38% कंटेनर और कुबेरनेट्स रणनीतियों के साथ सुरक्षा को शीर्ष चिंता का विषय बताते हैं।
सॉफ़्टवेयर आपूर्ति श्रृंखला तेजी से आग की चपेट में आ गई है, और कुबेरनेट्स की दुकानें गर्मी महसूस कर रही हैं। जब पूछा गया कि वे किस विशिष्ट सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा मुद्दों से सबसे अधिक चिंतित थे, तो Red Hat सर्वेक्षण के उत्तरदाताओं ने कहा:
- कमजोर अनुप्रयोग घटक (32%)
- अपर्याप्त पहुंच नियंत्रण (30%)
- सामग्री के सॉफ़्टवेयर बिलों (एसबीओएम) या उद्गम की कमी (29%)
- स्वचालन का अभाव (29%)
- लेखापरीक्षा क्षमता का अभाव (28%)
- असुरक्षित कंटेनर छवियां (27%)
- असंगत नीति प्रवर्तन (24%)
- सीआई/सीडी पाइपलाइन कमजोरियां (19%)
- असुरक्षित IaC टेम्पलेट्स (19%)
- संस्करण नियंत्रण कमज़ोरियाँ (17%)
उत्तरदाताओं के बीच ये चिंताएँ उचित प्रतीत होती हैं, आधे से अधिक ने ध्यान दिया कि उनके पास लगभग सभी के साथ प्रत्यक्ष अनुभव है - विशेष रूप से कमजोर एप्लिकेशन घटकों और सीआई/सीडी पाइपलाइन कमजोरियों के साथ।
इन मुद्दों के बीच काफी हद तक ओवरलैप है, लेकिन संगठन एक चीज़ पर ध्यान केंद्रित करके इन सभी के बारे में चिंताओं को कम कर सकते हैं: विश्वसनीय सामग्री।
सामग्री पर भरोसा करने की क्षमता तेजी से चुनौतीपूर्ण होती जा रही है क्योंकि अधिक से अधिक संगठन क्लाउड-नेटिव विकास के लिए ओपन सोर्स कोड का उपयोग करते हैं। दो-तिहाई से अधिक एप्लिकेशन कोड ओपन सोर्स निर्भरता से विरासत में मिला है, और उस कोड पर भरोसा करना एप्लिकेशन और प्लेटफ़ॉर्म सुरक्षा को मजबूत करने की कुंजी है, और, विस्तार से, कंटेनर ऑर्केस्ट्रेशन प्लेटफ़ॉर्म से सबसे अधिक मूल्य प्राप्त करना है।
वास्तव में, संगठन तब तक विश्वसनीय उत्पाद और सेवाएँ नहीं बना सकते जब तक कि वे उन्हें बनाने के लिए उपयोग किए गए कोड पर भरोसा नहीं कर सकते। सामग्री के सॉफ़्टवेयर बिल कोड की उत्पत्ति सुनिश्चित करने में सहायता के लिए डिज़ाइन किए गए हैं, लेकिन उनका उपयोग अलग से नहीं किया जाना चाहिए। बल्कि, एसबीओएम को सॉफ्टवेयर आपूर्ति श्रृंखला को सुरक्षित करने के लिए एक बहुआयामी रणनीति का हिस्सा माना जाना चाहिए, जिसके मूल में विश्वसनीय सामग्री हो।
कोई भी एसबीओएम एक द्वीप नहीं है
एसबीओएम डेवलपर्स को उन घटकों के बारे में सूचित निर्णय लेने के लिए आवश्यक जानकारी प्रदान करते हैं जिनका वे लाभ उठा रहे हैं। यह विशेष रूप से महत्वपूर्ण है क्योंकि डेवलपर्स एप्लिकेशन बनाने के लिए कई ओपन सोर्स रिपॉजिटरी और लाइब्रेरीज़ से काम लेते हैं। हालाँकि, एसबीओएम का अस्तित्व ही अखंडता सुनिश्चित नहीं करता है। एक बात के लिए, ए एसबीओएम उतना ही फायदेमंद है जितना कि यह अद्यतन और सत्यापन योग्य है. दूसरे के लिए, किसी सॉफ़्टवेयर के सभी घटकों को सूचीबद्ध करना केवल पहला कदम है। एक बार जब आप घटकों को जान लेते हैं, तो आपको यह निर्धारित करने की आवश्यकता होती है कि क्या उन घटकों के लिए ज्ञात समस्याएं हैं।
डेवलपर्स को उनके द्वारा चुने जा रहे सॉफ़्टवेयर घटकों के बारे में अग्रिम गुणवत्ता और सुरक्षा जानकारी की आवश्यकता होती है। सॉफ़्टवेयर प्रदाताओं और उपभोक्ताओं को समान रूप से क्यूरेटेड बिल्ड और कठोर ओपन सोर्स लाइब्रेरीज़ पर ध्यान केंद्रित करना चाहिए जिन्हें उत्पत्ति जांच के साथ सत्यापित और प्रमाणित किया गया है। डिजिटल हस्ताक्षर तकनीक यह सुनिश्चित करने में महत्वपूर्ण भूमिका निभाती है कि सार्वजनिक रिपॉजिटरी से अंतिम उपयोगकर्ता के वातावरण तक पारगमन के दौरान किसी सॉफ़्टवेयर आर्टिफैक्ट में किसी भी तरह से बदलाव नहीं किया गया है।
निःसंदेह, यह सब होते हुए भी, कमज़ोरियाँ होती हैं। और, सॉफ्टवेयर डेवलपर्स के समूह में पहचानी गई बड़ी संख्या में कमजोरियों को देखते हुए, टीमों को ज्ञात भेद्यता के वास्तविक प्रभाव का आकलन करने में मदद करने के लिए अतिरिक्त जानकारी की आवश्यकता होती है।
VEX-आईएनजी मुद्दे
कुछ मुद्दे दूसरों की तुलना में अधिक प्रभाव डालते हैं। यहीं पर VEX - या वल्नरेबिलिटी एक्सप्लॉइटेबिलिटी ईएक्सचेंज - आता है। मशीन-पठनीय VEX दस्तावेज़ के माध्यम से, सॉफ्टवेयर प्रदाता सक्रिय और स्वचालित भेद्यता विश्लेषण और अधिसूचना प्रणालियों का उपयोग करके, अपने उत्पादों की निर्भरता के भीतर पाई गई कमजोरियों की शोषणशीलता की रिपोर्ट कर सकते हैं।
ध्यान दें कि VEX भेद्यता डेटा और स्थिति प्रदान करने से कहीं आगे जाता है; इसमें शोषण संबंधी जानकारी भी शामिल है। VEX इस प्रश्न का उत्तर देने में मदद करता है: क्या इस भेद्यता का सक्रिय रूप से शोषण किया गया है? यह ग्राहकों को निवारण को प्राथमिकता देने और प्रभावी ढंग से प्रबंधित करने में सक्षम बनाता है। उदाहरण के लिए, Log4j जैसा कुछ तत्काल कार्रवाई की गारंटी देगा, जबकि ज्ञात शोषण के बिना भेद्यता प्रतीक्षा कर सकती है। अतिरिक्त प्राथमिकता निर्धारण निर्णय यह निर्धारित करने के आधार पर किए जा सकते हैं कि कोई पैकेज मौजूद है या नहीं, जिसका उपयोग नहीं किया गया है या उजागर नहीं किया गया है।
सत्यापन: मल का तीसरा पैर
एसबीओएम और वीईएक्स दस्तावेज़ीकरण के अलावा, सामग्री में विश्वास पैदा करने के लिए पैकेज सत्यापन की आवश्यकता होती है।
आपको यह जानना होगा कि आप जिस कोड का उपयोग कर रहे हैं, वह सुरक्षा सिद्धांतों को ध्यान में रखकर विकसित, क्यूरेट और निर्मित किया गया है, और स्रोत और सामग्री को सत्यापित करने के लिए आपको आवश्यक मेटाडेटा के साथ वितरित किया गया है। जब एसबीओएम और वीईएक्स दोनों दस्तावेज़ प्रदान किए जाते हैं, तो आपके पास भेद्यता स्कैनर चलाने की आवश्यकता के बिना, आपके द्वारा मूल्यांकन किए जा रहे पैकेज में सॉफ़्टवेयर घटकों की ज्ञात कमजोरियों को मैप करने का एक तरीका होता है। जब पैकेज और संबंधित मेटाडेटा के सत्यापन के लिए डिजिटल हस्ताक्षर का उपयोग किया जाता है, तो आपके पास यह सत्यापित करने का एक तरीका होता है कि पारगमन के दौरान सामग्री के साथ छेड़छाड़ नहीं की गई है।
निष्कर्ष
उल्लिखित मानक, उपकरण और सर्वोत्तम प्रथाएँ DevSecOps मॉडल के साथ संरेखित (और पूरक) हैं, और कुबेरनेट्स द्वारा सक्षम की गई तैनाती की तीव्र गति के साथ-साथ चलने वाली सुरक्षा चिंताओं को कम करने की दिशा में एक लंबा रास्ता तय करेंगी।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. ऑटोमोटिव/ईवीएस, कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- BlockOffsets. पर्यावरणीय ऑफसेट स्वामित्व का आधुनिकीकरण। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cloud/kubernetes-software-supply-chain
- :हैस
- :है
- :नहीं
- :कहाँ
- $यूपी
- a
- क्षमता
- About
- पहुँच
- कार्य
- सक्रिय रूप से
- वास्तविक
- इसके अलावा
- अतिरिक्त
- अतिरिक्त जानकारी
- संरेखित करें
- एक जैसे
- सब
- भी
- बदल
- के बीच में
- an
- विश्लेषण
- और
- अन्य
- जवाब
- कोई
- आवेदन
- अनुप्रयोगों
- हैं
- चारों ओर
- AS
- आकलन
- जुड़े
- At
- स्वचालित
- स्वचालन
- आधारित
- BE
- किया गया
- जा रहा है
- लाभदायक
- BEST
- सर्वोत्तम प्रथाओं
- परे
- सबसे बड़ा
- विधेयकों
- के छात्रों
- मोटे तौर पर
- निर्माण
- बनाता है
- बनाया गया
- लेकिन
- by
- कर सकते हैं
- नही सकता
- श्रृंखला
- चुनौतियों
- चुनौतीपूर्ण
- जाँचता
- कोड
- कैसे
- आता है
- कंपनियों
- पूरक हैं
- घटकों
- चिंता
- चिंतित
- चिंताओं
- माना
- उपभोक्ताओं
- कंटेनर
- सामग्री
- नियंत्रण
- नियंत्रण
- मूल
- कोर्स
- बनाना
- क्यूरेट
- वर्तमान
- ग्राहक
- ग्राहक
- तिथि
- तारीख
- सौदा
- निर्णय
- विलंबित
- दिया गया
- तैनाती
- बनाया गया
- निर्धारित करना
- निर्धारित करने
- विकसित
- डेवलपर्स
- विकास
- डिजिटल
- दस्तावेज़
- दस्तावेज़ीकरण
- दस्तावेजों
- कर देता है
- दो
- प्रभावी रूप से
- सक्षम बनाता है
- समाप्त
- प्रवर्तन
- पैदा करना
- अभियांत्रिकी
- सुनिश्चित
- सुनिश्चित
- वातावरण
- विशेष रूप से
- का मूल्यांकन
- और भी
- उदाहरण
- एक्सचेंज
- अस्तित्व
- अनुभव
- अनुभवी
- शोषण करना
- शोषित
- उजागर
- विस्तार
- पाता
- आग
- प्रथम
- ध्यान केंद्रित
- के लिए
- पाया
- से
- लाभ
- पाने
- मिल रहा
- दी
- ग्लोब
- Go
- चला जाता है
- महान
- अधिक से अधिक
- आधा
- हाथ
- होना
- टोपी
- है
- मदद
- मदद करता है
- तथापि
- HTTPS
- पहचान
- छवियों
- तत्काल
- प्रभाव
- महत्वपूर्ण
- in
- घटना
- शामिल
- तेजी
- उद्योग
- करें-
- सूचित
- ईमानदारी
- अलगाव
- मुद्दों
- IT
- जेपीजी
- कुंजी
- जानना
- जानने वाला
- बड़ा
- लाभ
- पुस्तकालयों
- पसंद
- लिस्टिंग
- लॉग4जे
- लंबा
- बंद
- बनाया गया
- बनाना
- प्रबंधन
- नक्शा
- सामग्री
- उल्लेख किया
- मेटाडाटा
- हो सकता है
- मन
- आदर्श
- अधिक
- अधिकांश
- विभिन्न
- लगभग
- आवश्यकता
- जरूरत
- विख्यात
- अधिसूचना
- ध्यान देने योग्य बात
- संख्या
- of
- on
- एक बार
- ONE
- केवल
- खुला
- खुला स्रोत
- or
- आर्केस्ट्रा
- संगठनों
- अन्य
- शांति
- पैकेज
- संकुल
- भाग
- टुकड़ा
- पाइपलाइन
- जगह
- मंच
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- निभाता
- नीति
- प्रथाओं
- वर्तमान
- सिद्धांतों
- प्राथमिकता
- प्राथमिकता
- प्रोएक्टिव
- उत्पाद
- पेशेवरों
- सूत्र
- प्रदान करना
- बशर्ते
- प्रदाताओं
- प्रदान कर
- सार्वजनिक
- गुणवत्ता
- प्रश्न
- उपवास
- बल्कि
- RE
- लाल
- कार्डिनल की टोपी
- दर्शाता है
- भरोसा करना
- रिपोर्ट
- कोष
- अपेक्षित
- उत्तरदाताओं
- राजस्व
- भूमिका
- रन
- s
- सुरक्षित
- हासिल करने
- सुरक्षा
- लगता है
- का चयन
- सेवाएँ
- सेट
- दुकानों
- चाहिए
- हस्ताक्षर
- सॉफ्टवेयर
- सॉफ्टवेयर डेवलपर्स
- कुछ
- कुछ
- स्रोत
- स्रोत कोड
- विशिष्ट
- मानकों
- राज्य
- स्थिति
- कदम
- रणनीतियों
- स्ट्रेटेजी
- आपूर्ति
- आपूर्ति श्रृंखला
- सर्वेक्षण
- सिस्टम
- टीमों
- टेक्नोलॉजी
- टेम्पलेट्स
- से
- कि
- RSI
- जानकारी
- लेकिन हाल ही
- उन
- वहाँ।
- इन
- वे
- बात
- तीसरा
- इसका
- उन
- भर
- कस
- सेवा मेरे
- उपकरण
- ऊपर का
- की ओर
- पारगमन
- ट्रस्ट
- विश्वस्त
- भरोसा
- दो तिहाई
- के अंतर्गत
- उपयोग
- प्रयुक्त
- उपयोगकर्ता
- का उपयोग
- मूल्य
- सत्यापित
- सत्यापित
- बहुत
- के माध्यम से
- कमजोरियों
- भेद्यता
- चपेट में
- प्रतीक्षा
- वारंट
- मार्ग..
- थे
- कब
- जहाँ तक
- या
- कौन कौन से
- जब
- मर्जी
- साथ में
- अंदर
- बिना
- होगा
- आप
- जेफिरनेट