組織が Kubernetes (さらに広く言えばクラウドネイティブ テクノロジ) から価値を得る能力は、セキュリティに関する懸念によって妨げられています。 最大の懸念の XNUMX つは、業界の現在の最大の課題の XNUMX つであるソフトウェア サプライ チェーンの安全性を反映しています。
レッドハットの「2023 年の Kubernetes の現状レポート" あれを見つけた Kubernetes のセキュリティ 一部の企業で問題視されている。 世界中の DevOps、エンジニアリング、セキュリティの専門家を対象とした調査に基づいたこのレポートでは、回答者の 67% が Kubernetes のセキュリティ上の懸念によりデプロイメントの遅延または遅延があり、37% がコンテナ/Kubernetes が原因で収益または顧客の損失を経験していることがわかりました。 38% がコンテナと Kubernetes 戦略における最大の懸念事項としてセキュリティを挙げています。
ソフトウェア サプライ チェーンはますます攻撃にさらされており、Kubernetes ショップはその熱を感じています。 Red Hat 調査の回答者は、特定のソフトウェア サプライ チェーンのセキュリティ問題のうちどの問題を最も懸念しているかを尋ねたところ、次のように述べています。
- 脆弱なアプリケーションコンポーネント (32%)
- 不十分なアクセス制御 (30%)
- ソフトウェア部品表 (SBOM) または出所の欠如 (29%)
- 自動化の欠如 (29%)
- 監査可能性の欠如 (28%)
- 安全でないコンテナイメージ (27%)
- 一貫性のないポリシーの施行 (24%)
- CI/CD パイプラインの弱点 (19%)
- 安全でない IaC テンプレート (19%)
- バージョン管理の弱点 (17%)
これらの懸念は回答者の間で十分な根拠があるようで、半数以上が、ほぼすべての懸念、特に脆弱なアプリケーション コンポーネントと CI/CD パイプラインの弱点について直接経験があると述べています。
これらの問題には多くの重複がありますが、組織は信頼できるコンテンツという XNUMX つのことに焦点を当てることで、それらすべてに関する懸念を最小限に抑えることができます。
クラウドネイティブ開発にオープンソース コードを使用する組織が増えるにつれて、コンテンツを信頼する能力はますます困難になっています。 アプリケーションコードの XNUMX 分の XNUMX 以上 はオープンソースの依存関係から継承されており、そのコードを信頼することが、アプリケーションとプラットフォームのセキュリティを強化し、ひいてはコンテナ オーケストレーション プラットフォームから最大限の価値を得る鍵となります。
実際、組織は、それらを構築するために使用されたコードを信頼できない限り、または信頼できる製品やサービスを作成することはできません。 ソフトウェア部品表は、コードの出所を保証するために設計されていますが、単独で使用すべきではありません。 むしろ、SBOM は、信頼できるコンテンツを中核として、ソフトウェア サプライ チェーンを保護するための多角的な戦略の一部として考慮される必要があります。
SBOM は島ではありません
SBOM は、開発者が利用しているコンポーネントについて情報に基づいた意思決定を行うために必要な情報を提供します。 開発者が複数のオープンソース リポジトリやライブラリから取得してアプリケーションを構築する場合、これは特に重要です。 ただし、SBOM の存在自体が整合性を保証するものではありません。 一つには、 SBOM は、最新で検証可能であることによってのみ有益になります。。 もう XNUMX つは、ソフトウェアのすべてのコンポーネントをリストすることは最初のステップにすぎません。 コンポーネントを理解したら、それらのコンポーネントに既知の問題があるかどうかを判断する必要があります。
開発者は、選択しているソフトウェア コンポーネントに関する品質とセキュリティに関する事前の情報が必要です。 ソフトウェアプロバイダーと消費者は同様に、出所チェックで検証および証明された厳選されたビルドと強化されたオープンソースライブラリに焦点を当てる必要があります。 デジタル署名テクノロジは、ソフトウェア アーティファクトがパブリック リポジトリからエンド ユーザーの環境に転送される間にいかなる方法でも変更されていないことを保証する上で重要な役割を果たします。
もちろん、これらすべてを整えたとしても、脆弱性は発生します。 また、開発者が依存している一連のソフトウェア全体で多数の脆弱性が特定されているため、チームが既知の脆弱性の実際の影響を評価するのに役立つ追加情報が必要です。
VEX の問題
一部の問題は他の問題よりも大きな影響を及ぼします。 そこで、VEX (Vulnerability Exploitability eXchange) の出番です。機械読み取り可能な VEX ドキュメントを介して、ソフトウェア プロバイダーは、プロアクティブで自動化された脆弱性分析および通知システムを最適に使用して、自社製品の依存関係内で見つかった脆弱性の悪用可能性を報告できます。
VEX は脆弱性のデータとステータスを提供するだけではないことに注意してください。 悪用可能性に関する情報も含まれます。 VEX は、「この脆弱性は積極的に悪用されていますか?」という質問に答えるのに役立ちます。 これにより、お客様は修復に優先順位を付けて効果的に管理できるようになります。 たとえば、Log4j のようなものは即時の対応を保証しますが、既知のエクスプロイトのない脆弱性は待機する可能性があります。 追加の優先順位付けの決定は、パッケージが存在するが使用または公開されていないかどうかの判断に基づいて行うことができます。
証明: スツールの XNUMX 番目の脚
コンテンツの信頼性を生み出すには、SBOM と VEX ドキュメントに加えて、パッケージ証明書が必要です。
使用しているコードがセキュリティ原則を念頭に置いて開発、厳選、構築されており、出所と内容を検証するために必要なメタデータとともに提供されていることを知っておく必要があります。 SBOM と VEX ドキュメントの両方が提供されている場合、脆弱性スキャナーを実行することなく、評価しているパッケージ内のソフトウェア コンポーネントに既知の脆弱性をマッピングする方法が得られます。 パッケージおよび関連するメタデータの証明にデジタル署名を使用すると、コンテンツが転送中に改ざんされていないことを確認する方法が得られます。
まとめ
ここで説明した標準、ツール、ベスト プラクティスは、DevSecOps モデルと連携 (および補完) しており、Kubernetes が可能にする急速な展開に伴うセキュリティ上の懸念を軽減するのに大いに役立ちます。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 自動車/EV、 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- ブロックオフセット。 環境オフセット所有権の近代化。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cloud/kubernetes-software-supply-chain
- :持っている
- :は
- :not
- :どこ
- $UP
- a
- 能力
- 私たちについて
- アクセス
- Action
- 積極的に
- 実際の
- 添加
- NEW
- 追加情報
- 整列する
- 同様に
- すべて
- また
- 標準装備されたものが、
- 間で
- an
- 分析
- および
- 別の
- 回答
- どれか
- 申し込み
- です
- 周りに
- AS
- 評価する
- 関連する
- At
- 自動化
- オートメーション
- ベース
- BE
- き
- さ
- 有益な
- BEST
- ベストプラクティス
- 越えて
- 最大の
- 札
- 両言語で
- 広く
- ビルド
- 構築します
- 内蔵
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 缶
- チェーン
- 課題
- 挑戦
- 小切手
- コード
- 来ます
- comes
- 企業
- 補体
- コンポーネント
- 懸念
- 心配
- 懸念事項
- 見なさ
- 消費者
- コンテナ
- コンテンツ
- コントロール
- controls
- 基本
- コース
- 作ります
- キュレーション
- 電流プローブ
- 顧客
- Customers
- データ
- 日付
- 取引
- 決定
- 遅延
- 配信
- 展開
- 設計
- 決定する
- 決定
- 発展した
- 開発者
- 開発
- デジタル
- ドキュメント
- ドキュメント
- ドキュメント
- ありません
- 原因
- 効果的に
- 可能
- end
- 執行
- 醸し出す
- エンジニアリング
- 確保
- 確保する
- 環境
- 特に
- 評価します
- さらに
- 例
- 交換
- 存在
- 体験
- 経験豊かな
- 悪用する
- 搾取
- 露出した
- 発見
- 火災
- 名
- 焦点
- 発見
- から
- 利得
- 獲得
- 受け
- 与えられた
- 世界
- Go
- ゴエス
- 素晴らしい
- 大きい
- 半分
- ハンド
- 起こる
- 持っています
- 持ってる
- 助けます
- ことができます
- しかしながら
- HTTPS
- 特定され
- 画像
- 即時の
- 影響
- 重要
- in
- 事件
- 含ま
- ますます
- 産業を変えます
- 情報
- 情報に基づく
- 整合性
- 分離
- 問題
- IT
- JPG
- キー
- 知っている
- 既知の
- 大
- 活用
- ライブラリ
- ような
- リスト
- ログ4j
- 長い
- 損失
- 製
- make
- 管理します
- 地図
- 材料
- 言及した
- かもしれない
- マインド
- 他には?
- 最も
- の試合に
- ほぼ
- 必要
- 必要とされる
- 注意
- 通知
- 注記
- 番号
- of
- on
- かつて
- ONE
- の
- 開いた
- オープンソース
- or
- 編成
- 組織
- その他
- 平和
- パッケージ
- パッケージ
- 部
- ピース
- パイプライン
- 場所
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 演劇
- 方針
- プラクティス
- 現在
- 原則
- 優先順位付け
- 優先順位をつける
- 先を見越した
- 製品
- 専門家
- 来歴
- 提供します
- 提供
- プロバイダ
- 提供
- 公共
- 品質
- 質問
- 急速な
- むしろ
- RE
- レッド
- レッドハット
- 反映
- 頼る
- レポート
- 倉庫
- の提出が必要です
- 回答者
- 収入
- 職種
- ラン
- s
- 安全に
- 確保する
- セキュリティ
- 思われる
- 選択
- サービス
- セッションに
- ショップ
- すべき
- 署名
- ソフトウェア
- ソフトウェア開発者
- 一部
- 何か
- ソース
- ソースコード
- 特定の
- 規格
- 都道府県
- Status:
- 手順
- 作戦
- 戦略
- 供給
- サプライチェーン
- Survey
- システム
- チーム
- テクノロジー
- テンプレート
- より
- それ
- 情報
- アプリ環境に合わせて
- それら
- そこ。
- ボーマン
- 彼ら
- もの
- 三番
- この
- それらの
- 全体
- 引き締め
- 〜へ
- 豊富なツール群
- top
- に向かって
- トランジット
- 信頼
- 信頼されている
- 信頼
- 3分の2
- 下
- つかいます
- 中古
- ユーザー
- 値
- 検証
- 確認する
- 非常に
- 、
- 脆弱性
- 脆弱性
- 脆弱な
- wait
- 令状
- 仕方..
- した
- いつ
- 一方
- かどうか
- which
- while
- 意志
- 以内
- 無し
- でしょう
- You
- ゼファーネット