A biztonsággal kapcsolatos aggályok hátráltatják a szervezetek azon képességét, hogy értéket szerezzenek a Kubernetesből – és tágabb értelemben a felhőalapú technológiából. Az egyik legnagyobb aggály az iparág egyik legnagyobb jelenlegi kihívását tükrözi: a szoftverellátási lánc biztonságát.
Red Hat"2023-as Kubernetes állapotjelentés" megtalaltam Kubernetes biztonság kérdéses néhány cégnél. A világ minden tájáról származó DevOps, mérnöki és biztonsági szakemberek körében végzett felmérés alapján a jelentés megállapítja, hogy a válaszadók 67%-a késleltette vagy lelassította a telepítést Kubernetes biztonsági aggályai miatt, 37%-uk pedig tapasztalt bevételt vagy ügyfélveszteséget egy konténer/Kubernetes miatt. biztonsági incidens, és 38%-uk a biztonságot nevezi meg a konténer- és Kubernetes-stratégiák legfőbb problémájának.
A szoftverellátási lánc egyre nagyobb támadásokba ütközik, és a Kubernetes üzletei is érzik a hőséget. Arra a kérdésre, hogy melyik szoftver-ellátási lánc biztonsági problémái foglalkoztatják őket leginkább, a Red Hat felmérés válaszadói megjegyezték:
- Sebezhető alkalmazáselemek (32%)
- elégtelen hozzáférés-szabályozás (30%)
- A szoftveres anyagjegyzék (SBOM) vagy a származás (29%) hiánya
- Az automatizálás hiánya (29%)
- Az auditálhatóság hiánya (28%)
- Nem biztonságos tárolóképek (27%)
- Az irányelvek következetlen érvényesítése (24%)
- A CI/CD csővezeték gyengeségei (19%)
- Nem biztonságos IaC-sablonok (19%)
- Verziókezelési hiányosságok (17%)
Ezek az aggodalmak megalapozottnak tűnnek a válaszadók körében, és több mint fele megjegyezte, hogy szinte mindegyikükkel közvetlen tapasztalataik vannak – különösen a sebezhető alkalmazás-összetevők és a CI/CD-folyamat gyengeségei.
Ezek között a kérdésekben nagy az átfedés, de a szervezetek minimalizálhatják mindegyikkel kapcsolatos aggodalmukat, ha egy dologra összpontosítanak: a megbízható tartalomra.
A tartalomban való megbízás egyre nagyobb kihívást jelent, mivel egyre több szervezet használ nyílt forráskódot a felhőalapú fejlesztésekhez. Az alkalmazáskód több mint kétharmada nyílt forráskódú függőségekből öröklődik, és abban bízva, hogy a kód kulcsfontosságú az alkalmazások és platformok biztonságának szigorításában, és ezen túlmenően a konténer-hangszerelési platformból származó legnagyobb érték kiaknázásában.
Valójában a szervezetek nem hozhatnak létre megbízható termékeket és szolgáltatásokat, hacsak/addig nem tudnak megbízni a felépítésükhöz használt kódban. A szoftveres anyagjegyzékek célja, hogy biztosítsák a kód eredetét, de nem használhatók elszigetelten. Inkább az SBOM-okat a szoftver-ellátási lánc biztonságát szolgáló többoldalú stratégia részének kell tekinteni, amelynek középpontjában a megbízható tartalom áll.
No SBOM egy sziget
Az SBOM-ok biztosítják azokat az információkat, amelyekre a fejlesztőknek szüksége van ahhoz, hogy megalapozott döntéseket hozzanak az általuk felhasznált összetevőkkel kapcsolatban. Ez különösen fontos, mivel a fejlesztők több nyílt forráskódú tárolóból és könyvtárból húznak le alkalmazásokat. Az SBOM önmagában való létezése azonban nem biztosítja az integritást. Egyrészt an Az SBOM csak annyira előnyös, amennyire naprakész és ellenőrizhető. Másrészt egy szoftver összes összetevőjének felsorolása csak az első lépés. Miután megismerte az összetevőket, meg kell határoznia, hogy vannak-e ismert problémák ezeknél az összetevőknél.
A fejlesztőknek előzetes minőségi és biztonsági információkra van szükségük az általuk kiválasztott szoftverösszetevőkről. A szoftverszolgáltatóknak és a fogyasztóknak egyaránt a gondozott buildekre és a megerősített nyílt forráskódú könyvtárakra kell összpontosítaniuk, amelyeket igazoltak és származási ellenőrzésekkel igazoltak. A digitális aláírás technológiája fontos szerepet játszik annak biztosításában, hogy a szoftverműtermék semmilyen módon ne módosuljon, miközben a nyilvános adattárból a végfelhasználó környezetébe kerül.
Természetesen még akkor is előfordulnak sebezhetőségek, ha mindez a helyén van. Tekintettel a nagyszámú sebezhetőségre, amelyekre a szoftverfejlesztők támaszkodnak, további információkra van szükség ahhoz, hogy a csapatok felmérhessék egy ismert sebezhetőség tényleges hatását.
VEX-ing problémák
Egyes problémák nagyobb hatással vannak, mint mások. Itt jön a képbe a VEX – vagy a Vulnerability Exploitability eXchange. Egy géppel olvasható VEX dokumentumon keresztül a szoftverszolgáltatók jelenthetik a termékeik függőségein belül talált sérülékenységek kihasználhatóságát – optimális esetben proaktív és automatizált sebezhetőségelemző és értesítési rendszerekkel.
Vegye figyelembe, hogy a VEX túlmutat a sebezhetőségi adatok és állapotok szolgáltatásán; hasznosíthatósági információkat is tartalmaz. A VEX segít megválaszolni a kérdést: Aktívan kihasználták ezt a sebezhetőséget? Ez lehetővé teszi az ügyfelek számára, hogy rangsorolják és hatékonyan kezeljék a kárelhárítást. A Log4j-hez hasonló valami azonnali intézkedést igényelne, míg egy ismert kizsákmányolás nélküli sebezhetőség várhat. További prioritási döntések hozhatók annak megállapítása alapján, hogy egy csomag jelen van-e, de nincs-e felhasználva vagy kitéve.
Tanúsítvány: A szék harmadik lába
Az SBOM-ok és a VEX-dokumentáció mellett a csomagok tanúsítása is szükséges a tartalom iránti bizalom megteremtéséhez.
Tudnia kell, hogy az Ön által használt kódot a biztonsági elvek figyelembevételével fejlesztették ki, kezelik és építették, és a származás és a tartalom ellenőrzéséhez szükséges metaadatokkal együtt szállítják. Ha az SBOM-ok és a VEX-dokumentumok is rendelkezésre állnak, lehetőség nyílik az ismert sebezhetőségek leképezésére a kiértékelendő csomag szoftverösszetevőire anélkül, hogy sebezhetőség-ellenőrzőt kellene futtatnia. Ha digitális aláírást használnak a csomagok és a kapcsolódó metaadatok igazolására, lehetősége van annak ellenőrzésére, hogy a tartalmat nem manipulálták-e az átvitel során.
Következtetés
Az említett szabványok, eszközök és bevált gyakorlatok illeszkednek a DevSecOps modellhez (és kiegészítik) a DevSecOps modellt, és nagymértékben hozzájárulnak a biztonsági aggályok enyhítéséhez, amelyek együtt járnak a Kubernetes által lehetővé tett gyors ütemű telepítéssel.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Autóipar / elektromos járművek, Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- BlockOffsets. A környezetvédelmi ellentételezési tulajdon korszerűsítése. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cloud/kubernetes-software-supply-chain
- :van
- :is
- :nem
- :ahol
- $ UP
- a
- képesség
- Rólunk
- hozzáférés
- Akció
- aktívan
- tényleges
- mellett
- További
- további információ
- összehangolása
- hasonló
- Minden termék
- Is
- megváltozott
- között
- an
- elemzés
- és a
- Másik
- válasz
- bármilyen
- Alkalmazás
- alkalmazások
- VANNAK
- körül
- AS
- értékeli
- társult
- At
- Automatizált
- Automatizálás
- alapján
- BE
- óta
- hogy
- előnyös
- BEST
- legjobb gyakorlatok
- Túl
- Legnagyobb
- Bankjegyek
- mindkét
- nagyjából
- épít
- épít
- épült
- de
- by
- TUD
- nem tud
- lánc
- kihívások
- kihívást
- Ellenőrzések
- kód
- hogyan
- jön
- Companies
- Kiegészítés
- alkatrészek
- Vonatkozik
- az érintett
- aggodalmak
- figyelembe vett
- Fogyasztók
- Konténer
- tartalom
- ellenőrzés
- ellenőrzések
- Mag
- Tanfolyam
- teremt
- a válogatott
- Jelenlegi
- vevő
- Ügyfelek
- dátum
- találka
- üzlet
- határozatok
- Késik
- szállított
- bevetés
- tervezett
- Határozzuk meg
- meghatározó
- fejlett
- fejlesztők
- Fejlesztés
- digitális
- dokumentum
- dokumentáció
- dokumentumok
- nem
- két
- hatékonyan
- lehetővé teszi
- végén
- végrehajtás
- szül
- Mérnöki
- biztosítására
- biztosítása
- Környezet
- különösen
- értékelő
- Még
- példa
- csere
- létezés
- tapasztalat
- tapasztalt
- Exploit
- Hasznosított
- kitett
- kiterjesztés
- leletek
- természet
- vezetéknév
- összpontosítás
- A
- talált
- ból ből
- Nyereség
- egyre
- szerzés
- adott
- földgolyó
- Go
- Goes
- nagy
- nagyobb
- fél
- kéz
- történik
- kalap
- Legyen
- segít
- segít
- azonban
- HTTPS
- azonosított
- képek
- azonnali
- Hatás
- fontos
- in
- incidens
- magában foglalja a
- egyre inkább
- ipar
- információ
- tájékoztatták
- sértetlenség
- szigetelés
- kérdések
- IT
- jpg
- Kulcs
- Ismer
- ismert
- nagy
- erőfölény
- könyvtárak
- mint
- felsorolás
- log4j
- Hosszú
- le
- készült
- csinál
- kezelése
- térkép
- anyagok
- említett
- Metaadatok
- esetleg
- bánja
- modell
- több
- a legtöbb
- többszörös
- közel
- Szükség
- szükséges
- neves
- bejelentés
- megjegyezve,
- számok
- of
- on
- egyszer
- ONE
- csak
- nyitva
- nyílt forráskódú
- or
- hangszerelés
- szervezetek
- Egyéb
- Béke
- csomag
- csomagok
- rész
- darab
- csővezeték
- Hely
- emelvény
- Plató
- Platón adatintelligencia
- PlatoData
- játszik
- politika
- gyakorlat
- be
- elvek
- fontossági sorrend
- Fontossági sorrendet
- proaktív
- Termékek
- tehetséges alkalmazottal
- eredet
- ad
- feltéve,
- szolgáltatók
- amely
- nyilvános
- világítás
- kérdés
- gyors
- Inkább
- RE
- Piros
- Red Hat
- tükrözi
- támaszkodnak
- jelentést
- raktár
- kötelező
- A válaszadók
- jövedelem
- Szerep
- futás
- s
- biztonság
- biztosítása
- biztonság
- látszik
- kiválasztása
- Szolgáltatások
- készlet
- üzletek
- kellene
- aláírások
- szoftver
- Szoftverfejlesztők
- néhány
- valami
- forrás
- forráskód
- különleges
- szabványok
- Állami
- Állapot
- Lépés
- stratégiák
- Stratégia
- kínálat
- ellátási lánc
- Felmérés
- Systems
- csapat
- Technológia
- sablonok
- mint
- hogy
- A
- az információ
- azok
- Őket
- Ott.
- Ezek
- ők
- dolog
- Harmadik
- ezt
- azok
- egész
- szigorítása
- nak nek
- szerszámok
- felső
- felé
- tranzit
- Bízzon
- Megbízható
- bizakodó
- kétharmadát
- alatt
- használ
- használt
- használó
- segítségével
- érték
- ellenőrzött
- ellenőrzése
- nagyon
- keresztül
- sérülékenységek
- sebezhetőség
- Sebezhető
- várjon
- parancs
- Út..
- voltak
- amikor
- mivel
- vajon
- ami
- míg
- lesz
- val vel
- belül
- nélkül
- lenne
- te
- zephyrnet