La capacità delle organizzazioni di ottenere valore da Kubernetes e, più in generale, dalla tecnologia cloud-native è ostacolata dalle preoccupazioni relative alla sicurezza. Una delle maggiori preoccupazioni riflette una delle più grandi sfide attuali del settore: proteggere la catena di fornitura del software.
Cappello Rosso "Rapporto 2023 sullo stato di Kubernetes” trovato quello Sicurezza Kubernetes è in discussione in alcune aziende. Sulla base di un sondaggio tra DevOps, ingegneri e professionisti della sicurezza di tutto il mondo, il rapporto rileva che il 67% degli intervistati ha ritardato o rallentato l'implementazione a causa di problemi di sicurezza di Kubernetes, mentre il 37% ha registrato entrate o perdite di clienti a causa di un container/Kubernetes incidente di sicurezza e il 38% cita la sicurezza come una delle principali preoccupazioni con le strategie di container e Kubernetes.
La catena di fornitura del software è sempre più sotto tiro e i negozi Kubernetes ne risentono. Alla domanda su quali specifici problemi di sicurezza della supply chain del software fossero più preoccupati, gli intervistati del sondaggio Red Hat hanno osservato:
- Componenti dell'applicazione vulnerabili (32%)
- Controlli di accesso insufficienti (30%)
- Mancanza di distinte base software (SBOM) o provenienza (29%)
- Mancanza di automazione (29%)
- Mancanza di verificabilità (28%)
- Immagini di contenitori non sicuri (27%)
- Applicazione incoerente delle policy (24%)
- Debolezze della pipeline CI/CD (19%)
- Modelli IaC non sicuri (19%)
- Debolezze del controllo della versione (17%)
Queste preoccupazioni sembrano fondate tra gli intervistati, con più della metà che ha notato di avere esperienza diretta con quasi tutti, in particolare i componenti delle applicazioni vulnerabili e le debolezze della pipeline CI/CD.
C'è una grande quantità di sovrapposizioni tra questi problemi, ma le organizzazioni possono ridurre al minimo le preoccupazioni su tutti loro concentrandosi su una cosa: contenuti attendibili.
La capacità di fidarsi dei contenuti sta diventando sempre più difficile poiché sempre più organizzazioni utilizzano codice open source per lo sviluppo cloud-native. Più di due terzi del codice dell'applicazione è ereditato dalle dipendenze open source e fidarsi di quel codice è la chiave per rafforzare la sicurezza dell'applicazione e della piattaforma e, per estensione, ottenere il massimo valore dalla piattaforma di orchestrazione del contenitore.
In effetti, le organizzazioni non possono creare prodotti e servizi affidabili a meno che/fino a quando non possano fidarsi del codice utilizzato per crearli. Le distinte base del software sono progettate per garantire la provenienza del codice, ma non devono essere utilizzate isolatamente. Piuttosto, le SBOM dovrebbero essere considerate come parte di una strategia su più fronti per proteggere la catena di fornitura del software, con contenuti affidabili al centro.
No SBOM è un'isola
Le SBOM forniscono le informazioni di cui gli sviluppatori hanno bisogno per prendere decisioni informate sui componenti che stanno sfruttando. Ciò è particolarmente importante in quanto gli sviluppatori attingono da più repository e librerie open source per creare applicazioni. Tuttavia, l'esistenza stessa di una SBOM non garantisce l'integrità. Per prima cosa, un SBOM è vantaggioso solo se è aggiornato e verificabile. Dall'altro, elencare tutti i componenti di un software è solo il primo passo. Una volta che si conoscono i componenti, è necessario determinare se esistono problemi noti per tali componenti.
Gli sviluppatori hanno bisogno di informazioni anticipate sulla qualità e sulla sicurezza dei componenti software che stanno selezionando. Sia i fornitori di software che i consumatori dovrebbero concentrarsi su build curate e librerie open source rafforzate che sono state verificate e attestate con controlli di provenienza. La tecnologia della firma digitale svolge un ruolo importante nel garantire che un artefatto software non sia stato alterato in alcun modo durante il transito dall'archivio pubblico all'ambiente dell'utente finale.
Ovviamente, anche con tutto questo in atto, si verificano vulnerabilità. Inoltre, dato il gran numero di vulnerabilità identificate in tutto il set di sviluppatori software su cui fanno affidamento, sono necessarie ulteriori informazioni per aiutare i team a valutare l'impatto effettivo di una vulnerabilità nota.
Problemi con VEX
Alcuni problemi hanno un impatto maggiore di altri. È qui che entra in gioco VEX, o Vulnerability Exploitability eXchange. Tramite un documento VEX leggibile dalla macchina, i fornitori di software possono segnalare la sfruttabilità delle vulnerabilità rilevate all'interno delle dipendenze dei loro prodotti, in modo ottimale, utilizzando sistemi di analisi e notifica delle vulnerabilità proattivi e automatizzati.
Si noti che VEX va oltre la fornitura di dati e stato di vulnerabilità; include anche informazioni sulla sfruttabilità. VEX aiuta a rispondere alla domanda: questa vulnerabilità è stata sfruttata attivamente? Ciò consente ai clienti di stabilire le priorità e gestire in modo efficace la riparazione. Qualcosa come Log4j richiederebbe un'azione immediata, ad esempio, mentre una vulnerabilità senza un exploit noto potrebbe attendere. Ulteriori decisioni di priorità possono essere prese in base alla determinazione se un pacchetto è presente ma non utilizzato o esposto.
Attestazione: La terza gamba dello sgabello
Oltre alle SBOM e alla documentazione VEX, è necessaria l'attestazione del pacchetto per generare attendibilità nel contenuto.
Devi sapere che il codice che stai utilizzando è sviluppato, curato e costruito tenendo presenti i principi di sicurezza e fornito con i metadati necessari per verificare la provenienza e il contenuto. Quando vengono forniti sia documenti SBOM che VEX, è possibile mappare le vulnerabilità note ai componenti software nel pacchetto che si sta valutando, senza la necessità di eseguire uno scanner di vulnerabilità. Quando le firme digitali vengono utilizzate per l'attestazione dei pacchetti e dei metadati associati, hai un modo per verificare che il contenuto non sia stato manomesso durante il transito.
Conclusione
Gli standard, gli strumenti e le best practice menzionati sono in linea con (e completano) il modello DevSecOps e faranno molto per alleviare i problemi di sicurezza che vanno di pari passo con il rapido ritmo di implementazione consentito da Kubernetes.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
- Fonte: https://www.darkreading.com/cloud/kubernetes-software-supply-chain
- :ha
- :È
- :non
- :Dove
- $ SU
- a
- capacità
- WRI
- accesso
- Action
- attivamente
- presenti
- aggiunta
- aggiuntivo
- Informazioni aggiuntive
- allineare
- nello stesso modo
- Tutti
- anche
- alterato
- tra
- an
- .
- ed
- Un altro
- rispondere
- in qualsiasi
- Applicazioni
- applicazioni
- SONO
- in giro
- AS
- valutare
- associato
- At
- Automatizzata
- Automazione
- basato
- BE
- stato
- essendo
- benefico
- MIGLIORE
- best practice
- Al di là di
- Maggiore
- Bills
- entrambi
- in linea di massima
- costruire
- costruisce
- costruito
- ma
- by
- Materiale
- non può
- catena
- sfide
- impegnativo
- Controlli
- codice
- Venire
- viene
- Aziende
- Complemento
- componenti
- Problemi della Pelle
- interessato
- preoccupazioni
- considerato
- Consumatori
- Contenitore
- contenuto
- di controllo
- controlli
- Nucleo
- Portata
- creare
- a cura
- Corrente
- cliente
- Clienti
- dati
- Data
- affare
- decisioni
- Ritardato
- consegnato
- deployment
- progettato
- Determinare
- determinazione
- sviluppato
- sviluppatori
- Mercato
- digitale
- documento
- documentazione
- documenti
- effettua
- dovuto
- in maniera efficace
- Abilita
- fine
- applicazione
- generare
- Ingegneria
- garantire
- assicurando
- Ambiente
- particolarmente
- la valutazione
- Anche
- esempio
- exchange
- esistenza
- esperienza
- esperto
- Sfruttare
- Exploited
- esposto
- estensione
- trova
- Antincendio
- Nome
- messa a fuoco
- Nel
- essere trovato
- da
- Guadagno
- guadagnando
- ottenere
- dato
- globo
- Go
- va
- grande
- maggiore
- Metà
- cura
- accadere
- ha
- Avere
- Aiuto
- aiuta
- Tuttavia
- HTTPS
- identificato
- immagini
- immediato
- Impact
- importante
- in
- incidente
- inclusi
- sempre più
- industria
- informazioni
- informati
- interezza
- da solo
- sicurezza
- IT
- jpg
- Le
- Sapere
- conosciuto
- grandi
- leveraging
- biblioteche
- piace
- annuncio
- log4j
- Lunghi
- spento
- fatto
- make
- gestire
- carta geografica
- Materiale
- menzionato
- Metadati
- forza
- mente
- modello
- Scopri di più
- maggior parte
- multiplo
- quasi
- Bisogno
- di applicazione
- noto
- notifica
- notando
- numeri
- of
- on
- una volta
- ONE
- esclusivamente
- aprire
- open source
- or
- orchestrazione
- organizzazioni
- Altri
- Pace
- pacchetto
- Packages
- parte
- pezzo
- conduttura
- posto
- piattaforma
- Platone
- Platone Data Intelligence
- PlatoneDati
- gioca
- politica
- pratiche
- presenti
- principi
- prioritizzazione
- Dare priorità
- Proactive
- Prodotti
- Scelto dai professionisti
- provenienza
- fornire
- purché
- fornitori
- fornitura
- la percezione
- qualità
- domanda
- veloce
- piuttosto
- RE
- Rosso
- Red Hat
- riflette
- fare affidamento
- rapporto
- deposito
- necessario
- intervistati
- Le vendite
- Ruolo
- Correre
- s
- sicuro
- fissaggio
- problemi di
- sembrare
- Selezione
- Servizi
- set
- negozi
- dovrebbero
- firme
- Software
- Sviluppatori di software
- alcuni
- qualcosa
- Fonte
- codice sorgente
- specifico
- standard
- Regione / Stato
- Stato dei servizi
- step
- strategie
- Strategia
- fornire
- supply chain
- Indagine
- SISTEMI DI TRATTAMENTO
- le squadre
- Tecnologia
- modelli
- di
- che
- Il
- le informazioni
- loro
- Li
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- cosa
- Terza
- questo
- quelli
- per tutto
- serraggio
- a
- strumenti
- top
- verso
- transito
- Affidati ad
- di fiducia
- confidando
- due terzi
- per
- uso
- utilizzato
- Utente
- utilizzando
- APPREZZIAMO
- verificato
- verificare
- molto
- via
- vulnerabilità
- vulnerabilità
- Vulnerabile
- aspettare
- Mandato
- Modo..
- sono stati
- quando
- mentre
- se
- quale
- while
- volere
- con
- entro
- senza
- sarebbe
- Tu
- zefiro