היכולת של ארגונים להשיג ערך מ-Kubernetes - ובאופן רחב יותר, טכנולוגיה מקורית בענן - נפגעת בגלל חששות בנוגע לאבטחה. אחד החששות הגדולים ביותר משקף את אחד האתגרים הנוכחיים הגדולים של התעשייה: אבטחת שרשרת אספקת התוכנה.
של רד האטדוח מצב Kubernetes לשנת 2023" מצאתי את זה אבטחת Kubernetes מדובר בחלק מהחברות. בהתבסס על סקר של מומחי DevOps, הנדסה ואבטחה מרחבי העולם, הדו"ח מגלה כי 67% מהמשיבים עיכבו או האטו את הפריסה עקב חששות אבטחה של Kubernetes, 37% חוו הכנסות או אובדן לקוחות עקב קונטיינר/Kubernetes אירוע אבטחה, ו-38% מציינים את האבטחה כדאגה ראשונה במעלה עם אסטרטגיות מכולות ו-Kubernetes.
שרשרת אספקת התוכנה ספגה יותר ויותר אש, וחנויות Kubernetes מרגישות את החום. כשנשאלו באילו בעיות ספציפיות של שרשרת אספקת התוכנה הם היו מודאגים ביותר, המשיבים לסקר Red Hat ציינו:
- רכיבי אפליקציה פגיעים (32%)
- בקרות גישה לא מספקות (30%)
- חוסר בכתבי תוכנה (SBOM) או מוצא (29%)
- חוסר אוטומציה (29%)
- חוסר יכולת ביקורת (28%)
- תמונות מיכל לא מאובטחות (27%)
- אכיפת מדיניות לא עקבית (24%)
- חולשות בצנרת CI/CD (19%)
- תבניות IaC לא מאובטחות (19%)
- חולשות בקרת גרסאות (17%)
חששות אלו נראים מבוססים בקרב המשיבים, כאשר יותר ממחציתם מציינים שיש להם ניסיון ממקור ראשון עם כמעט כולם - במיוחד רכיבי יישומים פגיעים וחולשות בצנרת CI/CD.
ישנה חפיפה רבה בין הנושאים הללו, אך ארגונים יכולים למזער את החששות לגבי כולם על ידי התמקדות בדבר אחד: תוכן מהימן.
היכולת לתת אמון בתוכן הופכת למאתגרת יותר ויותר, ככל שיותר ויותר ארגונים משתמשים בקוד קוד פתוח לפיתוח מקורי בענן. יותר משני שליש מקוד האפליקציה עובר בירושה מתלות בקוד פתוח, ואמון בכך שהקוד הוא המפתח להחזקת אבטחת האפליקציות והפלטפורמות, ובהרחבה, השגת הערך הרב ביותר מפלטפורמת התזמורת המכיל.
אכן, ארגונים אינם יכולים ליצור מוצרים ושירותים מהימנים אלא אם/עד שהם יכולים לסמוך על הקוד המשמש לבנייתם. רשימות חומרי תוכנה נועדו לעזור להבטיח את מקור הקוד, אך אין להשתמש בהם בנפרד. במקום זאת, יש להתייחס ל-SBOMs כחלק מאסטרטגיה רב-כיוונית לאבטחת שרשרת אספקת התוכנה, עם תוכן מהימן בליבה.
אין SBOM הוא אי
SBOMs מספקים את המידע שמפתחים צריכים לקבל החלטות מושכלות לגבי הרכיבים שהם ממנפים. זה חשוב במיוחד מכיוון שמפתחים מושכים ממספר מאגרי קוד פתוח וספריות לבניית יישומים. עם זאת, עצם קיומו של SBOM אינו מבטיח שלמות. דבר אחד, א SBOM מועיל רק כפי שהוא מעודכן וניתן לאימות. מצד שני, פירוט כל הרכיבים של תוכנה הוא רק השלב הראשון. ברגע שאתה מכיר את הרכיבים, עליך לקבוע אם יש בעיות ידועות עבור רכיבים אלה.
מפתחים צריכים מראש מידע על איכות ואבטחה על רכיבי התוכנה שהם בוחרים. ספקי תוכנה וצרכנים כאחד צריכים להתמקד בבנייה מאוחדת ובספריות קוד פתוח מוקשחות שאומתו ואושרו באמצעות בדיקות מוצא. טכנולוגיית חתימה דיגיטלית ממלאת תפקיד חשוב בהבטחה שחפץ תוכנה לא השתנה בשום צורה בזמן המעבר מהמאגר הציבורי לסביבת משתמש הקצה.
כמובן, אפילו עם כל זה במקום, פגיעות קורות. ובהתחשב במספר הגדול של נקודות תורפה שזוהו בכל קבוצת מפתחי התוכנה, יש צורך במידע נוסף כדי לעזור לצוותים להעריך את ההשפעה האמיתית של פגיעות ידועה.
בעיות של VEX-ing
לחלק מהנושאים יש השפעה גדולה יותר מאחרות. זה המקום שבו VEX - או Vulnerability Exploitability eXchange - נכנס לתמונה. באמצעות מסמך VEX הניתן לקריאת מכונה, ספקי תוכנה יכולים לדווח על ניצול נקודות התורפה של נקודות תורפה שנמצאו בתלות של המוצרים שלהם - בצורה אופטימלית, תוך שימוש במערכות ניתוח והודעות פרואקטיביות יזומות ואוטומטיות.
שים לב ש-VEX חורג ממתן נתוני פגיעות וסטטוס; הוא כולל גם מידע על ניצול. VEX עוזר לענות על השאלה: האם הפגיעות הזו נוצלה באופן פעיל? זה מאפשר ללקוחות לתעדף ולנהל ביעילות את התיקון. משהו כמו Log4j יחייב פעולה מיידית, למשל, בעוד שפגיעות ללא ניצול ידוע עשויה להמתין. ניתן לקבל החלטות תעדוף נוספות בהתבסס על קביעה אם חבילה קיימת אך לא בשימוש או חשופה.
אישור: הרגל השלישית של השרפרף
בנוסף ל-SBOMs ותיעוד VEX, נדרשת אישור חבילה כדי ליצור אמון בתוכן.
אתה צריך לדעת שהקוד שבו אתה משתמש פותח, אוצר ובנוי מתוך מחשבה על עקרונות אבטחה, ומועבר עם המטא נתונים הדרושים לך כדי לאמת את מקורו ותוכן. כאשר מסופקים גם SBOMs וגם מסמכי VEX, יש לך דרך למפות פגיעויות ידועות לרכיבי תוכנה בחבילה שאתה מעריך, ללא צורך בהפעלת סורק פגיעות. כאשר נעשה שימוש בחתימות דיגיטליות לאימות של חבילות ומטא נתונים משויכים, יש לך דרך לוודא שלא התעסק בתוכן במהלך ההעברה.
סיכום
הסטנדרטים, הכלים והשיטות המומלצות שהוזכרו מתאימים (ומשלימים) את מודל ה-DevSecOps, ויסייעו רבות בהקלה על חששות האבטחה שהולכים יד ביד עם קצב הפריסה המהיר שמאפשרת Kubernetes.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
- מקור: https://www.darkreading.com/cloud/kubernetes-software-supply-chain
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- a
- יכולת
- אודות
- גישה
- פעולה
- באופן פעיל
- ממשי
- תוספת
- נוסף
- מידע נוסף
- ליישר
- דוֹמֶה
- תעשיות
- גם
- שיניתי
- בין
- an
- אנליזה
- ו
- אחר
- לענות
- כל
- בקשה
- יישומים
- ARE
- סביב
- AS
- לְהַעֲרִיך
- המשויך
- At
- אוטומטי
- אוטומציה
- מבוסס
- BE
- היה
- להיות
- מועיל
- הטוב ביותר
- שיטות עבודה מומלצות
- מעבר
- הגדול ביותר
- שטרות
- שניהם
- בְּהַרְחָבָה
- לִבנוֹת
- בונה
- נבנה
- אבל
- by
- CAN
- לא יכול
- שרשרת
- האתגרים
- אתגר
- בדיקות
- קוד
- איך
- מגיע
- חברות
- השלמה
- רכיבים
- דְאָגָה
- מודאג
- דאגות
- נחשב
- צרכנים
- מכולה
- תוכן
- לִשְׁלוֹט
- בקרות
- ליבה
- קורס
- לִיצוֹר
- אוצר
- נוֹכְחִי
- לקוח
- לקוחות
- נתונים
- תַאֲרִיך
- עסקה
- החלטות
- נדחה
- נתן
- פריסה
- מעוצב
- לקבוע
- קביעה
- מפותח
- מפתחים
- צעצועי התפתחות
- דיגיטלי
- מסמך
- תיעוד
- מסמכים
- עושה
- ראוי
- יעילות
- מאפשר
- סוף
- אַכִיפָה
- לְהוֹלִיד
- הנדסה
- לְהַבטִיחַ
- הבטחתי
- סביבה
- במיוחד
- הערכה
- אֲפִילוּ
- דוגמה
- חליפין
- קיום
- ניסיון
- מנוסה
- לנצל
- ומנוצל
- חשוף
- הארכה
- ממצאים
- אש
- ראשון
- התמקדות
- בעד
- מצא
- החל מ-
- לְהַשִׂיג
- זכייה
- מקבל
- נתן
- כדור הארץ
- Go
- Goes
- גדול
- יותר
- חצי
- יד
- לקרות
- כובע
- יש
- לעזור
- עוזר
- אולם
- HTTPS
- מזוהה
- תמונות
- מיידי
- פְּגִיעָה
- חשוב
- in
- תקרית
- כולל
- יותר ויותר
- תעשייה
- מידע
- הודעה
- שלמות
- בדידות
- בעיות
- IT
- jpg
- מפתח
- לדעת
- ידוע
- גָדוֹל
- מינוף
- ספריות
- כמו
- רישום
- log4j
- ארוך
- את
- עשוי
- לעשות
- לנהל
- מַפָּה
- חומרים
- מוּזְכָּר
- מידע נוסף
- יכול
- אכפת לי
- מודל
- יותר
- רוב
- מספר
- כמעט
- צורך
- נחוץ
- ציין
- הודעה
- וציין
- מספרים
- of
- on
- פעם
- ONE
- רק
- לפתוח
- קוד פתוח
- or
- תזמור
- ארגונים
- אחרים
- שלום
- חבילה
- חבילות
- חלק
- לְחַבֵּר
- צינור
- מקום
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- משחק
- מדיניות
- פרקטיקות
- להציג
- עקרונות
- סדר עדיפויות
- תיעדוף
- פרואקטיבי
- מוצרים
- אנשי מקצוע
- מוֹצָא
- לספק
- ובלבד
- ספקים
- מתן
- ציבורי
- איכות
- שאלה
- מהיר
- במקום
- RE
- Red
- רד האט
- משקף
- לסמוך
- לדווח
- מאגר
- נדרש
- המשיבים
- הכנסה
- תפקיד
- הפעלה
- s
- לבטח
- אַבטָחָה
- אבטחה
- נראה
- בחירה
- שירותים
- סט
- חנויות
- צריך
- חתימות
- תוכנה
- מפתחי תוכנה
- כמה
- משהו
- מָקוֹר
- קוד מקור
- ספציפי
- תקנים
- מדינה
- מצב
- שלב
- אסטרטגיות
- אִסטרָטֶגִיָה
- לספק
- שרשרת אספקה
- סֶקֶר
- מערכות
- צוותי
- טכנולוגיה
- תבניות
- מֵאֲשֶׁר
- זֶה
- השמיים
- המידע
- שֶׁלָהֶם
- אותם
- שם.
- אלה
- הֵם
- דבר
- שְׁלִישִׁי
- זֶה
- אלה
- בכל
- הידוק
- ל
- כלים
- חלק עליון
- לקראת
- מעבר
- סומך
- מהימן
- בוטח
- שני שליש
- תחת
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- באמצעות
- ערך
- מְאוּמָת
- לאמת
- מאוד
- באמצעות
- פגיעויות
- פגיעות
- פגיע
- לחכות
- אחריות
- דֶרֶך..
- היו
- מתי
- ואילו
- אם
- אשר
- בזמן
- יצטרך
- עם
- בתוך
- לְלֹא
- היה
- אתה
- זפירנט