Organisasjoners evne til å få verdi fra Kubernetes – og mer generelt skybasert teknologi – blir hemmet av bekymringer rundt sikkerhet. En av de største bekymringene gjenspeiler en av bransjens største nåværende utfordringer: å sikre programvareforsyningskjeden.
Red Hats "2023 State of Kubernetes-rapport" fant det Kubernetes sikkerhet er aktuelt hos enkelte selskaper. Basert på en undersøkelse blant DevOps-, ingeniør- og sikkerhetseksperter fra hele verden, finner rapporten at 67 % av respondentene har forsinket eller senket distribusjon på grunn av Kubernetes sikkerhetsproblemer, 37 % har opplevd inntekter eller tap av kunder på grunn av en container/Kubernetes sikkerhetshendelse, og 38 % nevner sikkerhet som et hovedproblem med container- og Kubernetes-strategier.
Programvareforsyningskjeden har i økende grad kommet under ild, og Kubernetes-butikker kjenner på varmen. På spørsmål om hvilke spesifikke sikkerhetsproblemer i programvareforsyningskjeden de var mest opptatt av, bemerket respondentene til Red Hat-undersøkelsen:
- Sårbare applikasjonskomponenter (32 %)
- Utilstrekkelig tilgangskontroll (30 %)
- Mangel på programvarelister (SBOM) eller herkomst (29 %)
- Mangel på automatisering (29 %)
- Mangel på revisjonsevne (28 %)
- Usikre beholderbilder (27 %)
- Inkonsekvent håndhevelse av retningslinjer (24 %)
- Svakheter i CI/CD-rørledningen (19 %)
- Usikre IaC-maler (19 %)
- Svakheter i versjonskontroll (17 %)
Disse bekymringene virker velbegrunnede blant respondentene, og mer enn halvparten bemerker at de har førstehåndserfaring med nesten alle av dem – spesielt sårbare applikasjonskomponenter og svakheter i CI/CD-rørledningen.
Det er mye overlapping mellom disse problemene, men organisasjoner kan minimere bekymringer om dem alle ved å fokusere på én ting: pålitelig innhold.
Evnen til å stole på innhold blir stadig mer utfordrende ettersom flere og flere organisasjoner bruker åpen kildekode for skybasert utvikling. Mer enn to tredjedeler av søknadskoden er arvet fra åpen kildekode-avhengigheter, og å stole på at koden er nøkkelen til å stramme applikasjons- og plattformsikkerheten, og i forlengelsen få mest mulig verdi fra containerorkestreringsplattformen.
Organisasjoner kan faktisk ikke lage pålitelige produkter og tjenester med mindre/inntil de kan stole på koden som brukes til å bygge dem. Programvarelister er utformet for å bidra til å sikre opprinnelsen til koden, men de bør ikke brukes isolert. Snarere bør SBOM-er betraktes som en del av en flerstrenget strategi for å sikre programvareforsyningskjeden, med pålitelig innhold i kjernen.
Ingen SBOM er en øy
SBOM-er gir informasjonen utviklere trenger for å ta informerte beslutninger om komponentene de utnytter. Dette er spesielt viktig ettersom utviklere henter fra flere åpen kildekode-repositorier og biblioteker for å bygge applikasjoner. Selve eksistensen av en SBOM sikrer imidlertid ikke integritet. For en ting, en SBOM er bare så fordelaktig som den er oppdatert og verifiserbar. For en annen er å liste opp alle komponentene i en programvare bare det første trinnet. Når du kjenner komponentene, må du finne ut om det er kjente problemer for disse komponentene.
Utviklere trenger forhåndskvalitets- og sikkerhetsinformasjon om programvarekomponentene de velger. Både programvareleverandører og forbrukere bør fokusere på kuraterte byggverk og herdede åpen kildekode-biblioteker som er verifisert og attestert med herkomstsjekker. Digital signaturteknologi spiller en viktig rolle for å sikre at en programvareartefakt ikke har blitt endret på noen måte mens den er i transitt fra det offentlige depotet til sluttbrukerens miljø.
Selv med alt dette på plass, oppstår selvfølgelig sårbarheter. Og gitt det store antallet sårbarheter som er identifisert gjennom hele settet med programvareutviklere, er det nødvendig med tilleggsinformasjon for å hjelpe teamene med å vurdere den faktiske virkningen av en kjent sårbarhet.
VEX-ing problemer
Noen saker har større innvirkning enn andre. Det er der VEX – eller Vulnerability Exploitability eXchange – kommer inn. Via et maskinlesbart VEX-dokument kan programvareleverandører rapportere utnyttelsen av sårbarheter som finnes innenfor avhengigheter til produktene deres – optimalt ved å bruke proaktive og automatiserte sårbarhetsanalyse- og varslingssystemer.
Merk at VEX går utover å gi sårbarhetsdata og status; den inkluderer også informasjon om utnyttelse. VEX hjelper deg med å svare på spørsmålet: Har denne sårbarheten blitt aktivt utnyttet? Dette gjør kundene i stand til å prioritere og effektivt administrere utbedring. Noe som Log4j vil for eksempel berettige umiddelbar handling, mens en sårbarhet uten en kjent utnyttelse kan vente. Ytterligere prioriteringsbeslutninger kan tas basert på å bestemme om en pakke er til stede, men ikke brukt eller eksponert.
Attestasjon: Det tredje beinet på krakken
I tillegg til SBOM-er og VEX-dokumentasjon, kreves pakkeattestering for å skape tillit til innhold.
Du må vite at koden du bruker er utviklet, kuratert og bygget med sikkerhetsprinsipper i tankene, og leveres med metadataene du trenger for å bekrefte herkomst og innhold. Når både SBOM-er og VEX-dokumenter leveres, har du en måte å kartlegge kjente sårbarheter til programvarekomponenter i pakken du evaluerer, uten å måtte kjøre en sårbarhetsskanner. Når digitale signaturer brukes til attestering av pakker og tilhørende metadata, har du en måte å verifisere at innholdet ikke har blitt tuklet med under transport.
konklusjonen
Standardene, verktøyene og beste praksisene som er nevnt samsvarer med (og utfyller) DevSecOps-modellen, og vil langt på vei lindre sikkerhetsbekymringene som går hånd i hånd med den raske utrullingen som Kubernetes muliggjør.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Bil / elbiler, Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- BlockOffsets. Modernisering av eierskap for miljøkompensasjon. Tilgang her.
- kilde: https://www.darkreading.com/cloud/kubernetes-software-supply-chain
- : har
- :er
- :ikke
- :hvor
- $OPP
- a
- evne
- Om oss
- adgang
- Handling
- aktivt
- faktiske
- tillegg
- Ytterligere
- Tilleggsinformasjon
- justere
- alike
- Alle
- også
- endret
- blant
- an
- analyse
- og
- En annen
- besvare
- noen
- Søknad
- søknader
- ER
- rundt
- AS
- vurdere
- assosiert
- At
- Automatisert
- Automatisering
- basert
- BE
- vært
- være
- gunstig
- BEST
- beste praksis
- Beyond
- Biggest
- Sedler
- både
- bredt
- bygge
- bygger
- bygget
- men
- by
- CAN
- kan ikke
- kjede
- utfordringer
- utfordrende
- Sjekker
- kode
- Kom
- kommer
- Selskaper
- Kompletter
- komponenter
- Bekymring
- bekymret
- bekymringer
- ansett
- Forbrukere
- Container
- innhold
- kontroll
- kontroller
- Kjerne
- Kurs
- skape
- kuratert
- Gjeldende
- kunde
- Kunder
- dato
- Dato
- avtale
- avgjørelser
- Forsinket
- levert
- distribusjon
- designet
- Bestem
- bestemme
- utviklet
- utviklere
- Utvikling
- digitalt
- dokument
- dokumentasjon
- dokumenter
- gjør
- to
- effektivt
- muliggjør
- slutt
- håndhevelse
- skape
- Ingeniørarbeid
- sikre
- sikrer
- Miljø
- spesielt
- evaluere
- Selv
- eksempel
- utveksling
- eksistens
- erfaring
- erfaren
- Exploit
- Exploited
- utsatt
- forlengelse
- funn
- Brann
- Først
- fokusering
- Til
- funnet
- fra
- Gevinst
- få
- få
- gitt
- globus
- Go
- Går
- flott
- større
- Halvparten
- hånd
- skje
- hatt
- Ha
- hjelpe
- hjelper
- Men
- HTTPS
- identifisert
- bilder
- umiddelbar
- Påvirkning
- viktig
- in
- hendelse
- inkluderer
- stadig
- industri
- informasjon
- informert
- integritet
- isolasjon
- saker
- IT
- jpg
- nøkkel
- Vet
- kjent
- stor
- utnytte
- bibliotekene
- i likhet med
- oppføring
- log4j
- Lang
- tap
- laget
- gjøre
- administrer
- kart
- materialer
- nevnt
- metadata
- kunne
- tankene
- modell
- mer
- mest
- flere
- nesten
- Trenger
- nødvendig
- bemerket
- varsling
- merke seg
- tall
- of
- on
- gang
- ONE
- bare
- åpen
- åpen kildekode
- or
- orkestre
- organisasjoner
- andre
- Fred
- pakke
- pakker
- del
- brikke
- rørledning
- Sted
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- spiller
- politikk
- praksis
- presentere
- prinsipper
- prioritering
- Prioriter
- Proaktiv
- Produkter
- fagfolk
- proveniens
- gi
- forutsatt
- tilbydere
- gi
- offentlig
- kvalitet
- spørsmål
- rask
- heller
- RE
- Rød
- Red Hat
- Gjenspeiler
- avhengige
- rapporterer
- Repository
- påkrevd
- respondentene
- inntekter
- Rolle
- Kjør
- s
- sikre
- sikring
- sikkerhet
- synes
- velge
- Tjenester
- sett
- butikker
- bør
- signaturer
- Software
- Programvareutviklere
- noen
- noe
- kilde
- kildekoden
- spesifikk
- standarder
- Tilstand
- status
- Trinn
- strategier
- Strategi
- levere
- forsyningskjeden
- Survey /Inspeksjonsfartøy
- Systemer
- lag
- Teknologi
- maler
- enn
- Det
- De
- informasjonen
- deres
- Dem
- Der.
- Disse
- de
- ting
- Tredje
- denne
- De
- hele
- innstramming
- til
- verktøy
- topp
- mot
- transitt
- Stol
- klarert
- stole på
- to tredjedeler
- etter
- bruke
- brukt
- Bruker
- ved hjelp av
- verdi
- verifisert
- verifisere
- veldig
- av
- Sikkerhetsproblemer
- sårbarhet
- Sårbar
- vente
- Warrant
- Vei..
- var
- når
- mens
- om
- hvilken
- mens
- vil
- med
- innenfor
- uten
- ville
- Du
- zephyrnet