Zdolność organizacji do czerpania korzyści z Kubernetes – i szerzej, technologii natywnej w chmurze – jest ograniczana przez obawy dotyczące bezpieczeństwa. Jedna z największych obaw odzwierciedla jedno z największych obecnych wyzwań w branży: zabezpieczenie łańcucha dostaw oprogramowania.
Czerwonego Kapelusza”Raport o stanie Kubernetesa za rok 2023" znalazłem to Bezpieczeństwo Kubernetesa jest kwestionowana w niektórych firmach. Z ankiety przeprowadzonej wśród specjalistów DevOps, inżynierii i bezpieczeństwa z całego świata wynika, że 67% respondentów opóźniło lub spowolniło wdrożenie ze względu na obawy związane z bezpieczeństwem Kubernetes, a 37% doświadczyło utraty przychodów lub klientów z powodu kontenera/Kubernetes incydent związany z bezpieczeństwem, a 38% uważa bezpieczeństwo za najważniejszy problem w strategiach kontenerowych i Kubernetes.
Łańcuch dostaw oprogramowania znajduje się pod coraz większym ostrzałem, a sklepy Kubernetes odczuwają gorąco. Na pytanie, jakie konkretne problemy związane z bezpieczeństwem łańcucha dostaw oprogramowania najbardziej ich niepokoją, respondenci ankiety Red Hat zauważyli:
- Wrażliwe komponenty aplikacji (32%)
- Niewystarczająca kontrola dostępu (30%)
- Brak zestawień materiałów oprogramowania (SBOM) lub pochodzenia (29%)
- Brak automatyzacji (29%)
- Brak możliwości audytu (28%)
- Niebezpieczne obrazy kontenerów (27%)
- Niespójne egzekwowanie zasad (24%)
- Słabe strony rurociągu CI/CD (19%)
- Niebezpieczne szablony IaC (19%)
- Słabe strony kontroli wersji (17%)
Obawy te wydają się uzasadnione wśród respondentów, przy czym ponad połowa stwierdziła, że ma doświadczenie z pierwszej ręki z prawie wszystkimi z nich – szczególnie wrażliwymi komponentami aplikacji i słabymi punktami w procesach CI/CD.
Te kwestie w dużej mierze się pokrywają, ale organizacje mogą zminimalizować obawy dotyczące ich wszystkich, koncentrując się na jednej rzeczy: zaufanych treściach.
Zaufanie treści staje się coraz większym wyzwaniem, ponieważ coraz więcej organizacji korzysta z kodu open source do programowania natywnie w chmurze. Ponad dwie trzecie kodu aplikacji jest dziedziczony z zależności typu open source, a zaufanie do tego kodu jest kluczem do zwiększenia bezpieczeństwa aplikacji i platformy, a co za tym idzie, uzyskania jak największej wartości z platformy orkiestracji kontenerów.
Rzeczywiście, organizacje nie mogą tworzyć zaufanych produktów i usług, dopóki nie będą mogły zaufać kodowi użytemu do ich zbudowania. Zestawienia materiałów oprogramowania mają na celu pomóc w zapewnieniu pochodzenia kodu, ale nie powinny być używane samodzielnie. SBOM należy raczej postrzegać jako część wielopłaszczyznowej strategii mającej na celu zabezpieczenie łańcucha dostaw oprogramowania, którego podstawą są zaufane treści.
Żaden SBOM nie jest wyspą
SBOM dostarczają programistom informacji potrzebnych do podejmowania świadomych decyzji dotyczących komponentów, z których korzystają. Jest to szczególnie ważne, ponieważ programiści korzystają z wielu repozytoriów i bibliotek open source w celu tworzenia aplikacji. Jednak samo istnienie SBOM nie gwarantuje integralności. Z jednej strony SBOM jest o tyle przydatny, o ile jest aktualny i możliwy do sprawdzenia. Po drugie, wypisanie wszystkich komponentów oprogramowania to dopiero pierwszy krok. Po zapoznaniu się z komponentami należy ustalić, czy występują w nich znane problemy.
Programiści potrzebują wstępnych informacji o jakości i bezpieczeństwie wybranych komponentów oprogramowania. Dostawcy oprogramowania i konsumenci powinni skupiać się na wyselekcjonowanych kompilacjach i wzmocnionych bibliotekach open source, które zostały zweryfikowane i potwierdzone weryfikacją pochodzenia. Technologia podpisu cyfrowego odgrywa ważną rolę w zapewnieniu, że artefakt oprogramowania nie został w żaden sposób zmieniony podczas przesyłania z publicznego repozytorium do środowiska użytkownika końcowego.
Oczywiście, nawet przy zastosowaniu tego wszystkiego, zdarzają się luki w zabezpieczeniach. Biorąc pod uwagę dużą liczbę luk zidentyfikowanych w całym zestawie twórców oprogramowania, na którym polegają, potrzebne są dodatkowe informacje, które pomogą zespołom ocenić rzeczywisty wpływ znanej luki.
Problemy z VEX-em
Niektóre kwestie mają większy wpływ niż inne. W tym miejscu z pomocą przychodzi VEX — czyli Vulnerability Exploitability eXchange. Za pomocą czytelnego maszynowo dokumentu VEX dostawcy oprogramowania mogą raportować możliwość wykorzystania luk znalezionych w zależnościach ich produktów — optymalnie, wykorzystując proaktywną i zautomatyzowaną analizę podatności i systemy powiadamiania.
Należy pamiętać, że VEX wykracza poza dostarczanie danych i statusu podatności; zawiera także informacje o możliwościach wykorzystania. VEX pomaga odpowiedzieć na pytanie: Czy luka ta była aktywnie wykorzystywana? Dzięki temu klienci mogą ustalać priorytety działań naprawczych i skutecznie nimi zarządzać. Na przykład coś takiego jak Log4j wymagałoby natychmiastowego działania, podczas gdy luka w zabezpieczeniach bez znanego exploita mogłaby poczekać. Dodatkowe decyzje dotyczące priorytetów można podjąć na podstawie ustalenia, czy przesyłka jest obecna, ale nie jest używana ani wystawiona na działanie.
Zaświadczenie: Trzecia noga stołka
Oprócz dokumentacji SBOM i VEX, aby wzbudzić zaufanie do treści, wymagane jest atestowanie pakietu.
Musisz mieć pewność, że kod, którego używasz, został opracowany, wyselekcjonowany i zbudowany z uwzględnieniem zasad bezpieczeństwa oraz że dostarczany jest z metadanymi potrzebnymi do sprawdzenia pochodzenia i zawartości. Jeśli zostaną dostarczone zarówno dokumenty SBOM, jak i VEX, można zmapować znane luki w zabezpieczeniach na komponenty oprogramowania w ocenianym pakiecie, bez konieczności uruchamiania skanera podatności. Gdy do poświadczania paczek i powiązanych metadanych używane są podpisy cyfrowe, można sprawdzić, czy treść nie została naruszona podczas transportu.
Wnioski
Wspomniane standardy, narzędzia i najlepsze praktyki są zgodne z modelem DevSecOps (i uzupełniają je) i w dużym stopniu przyczynią się do złagodzenia problemów związanych z bezpieczeństwem, które idą w parze z szybkim tempem wdrażania, które umożliwia Kubernetes.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
- Źródło: https://www.darkreading.com/cloud/kubernetes-software-supply-chain
- :ma
- :Jest
- :nie
- :Gdzie
- $W GÓRĘ
- a
- zdolność
- O nas
- dostęp
- Działania
- aktywnie
- rzeczywisty
- dodatek
- Dodatkowy
- Dodatkowe informacje
- wyrównać
- zarówno
- Wszystkie kategorie
- również
- zmieniony
- wśród
- an
- analiza
- i
- Inne
- odpowiedź
- każdy
- Zastosowanie
- aplikacje
- SĄ
- na około
- AS
- oszacować
- powiązany
- At
- zautomatyzowane
- Automatyzacja
- na podstawie
- BE
- być
- jest
- korzystny
- BEST
- Najlepsze praktyki
- Poza
- Najwyższa
- Banknoty
- obie
- szeroko
- budować
- Buduje
- wybudowany
- ale
- by
- CAN
- nie może
- łańcuch
- wyzwania
- wyzwanie
- Wykrywanie urządzeń szpiegujących
- kod
- jak
- byliśmy spójni, od początku
- Firmy
- Komplement
- składniki
- Troska
- zaniepokojony
- Obawy
- za
- Konsumenci
- Pojemnik
- zawartość
- kontrola
- kontroli
- rdzeń
- Kurs
- Stwórz
- kurator
- Aktualny
- klient
- Klientów
- dane
- Data
- sprawa
- Decyzje
- opóźniony
- dostarczona
- Wdrożenie
- zaprojektowany
- Ustalać
- określaniu
- rozwinięty
- deweloperzy
- oprogramowania
- cyfrowy
- dokument
- dokumentacja
- dokumenty
- robi
- z powodu
- faktycznie
- Umożliwia
- zakończenia
- egzekwowanie
- wywołać
- Inżynieria
- zapewnić
- zapewnienie
- Środowisko
- szczególnie
- oceny
- Parzyste
- przykład
- wymiana
- istnienie
- doświadczenie
- doświadczony
- Wykorzystać
- eksploatowany
- narażony
- rozbudowa
- znajduje
- natura
- i terminów, a
- skupienie
- W razie zamówieenia projektu
- znaleziono
- od
- Wzrost
- zyskuje
- miejsce
- dany
- globus
- Go
- Goes
- wspaniały
- większy
- Pół
- ręka
- zdarzyć
- kapelusz
- Have
- pomoc
- pomaga
- Jednak
- HTTPS
- zidentyfikowane
- zdjęcia
- Natychmiastowy
- Rezultat
- ważny
- in
- incydent
- obejmuje
- coraz bardziej
- przemysł
- Informacja
- poinformowany
- integralność
- izolacja
- problemy
- IT
- jpg
- Klawisz
- Wiedzieć
- znany
- duży
- lewarowanie
- biblioteki
- lubić
- wymienianie kolejno
- log4j
- długo
- od
- zrobiony
- robić
- zarządzanie
- mapa
- materiały
- wzmiankowany
- Metadane
- może
- nic
- model
- jeszcze
- większość
- wielokrotność
- prawie
- Potrzebować
- potrzebne
- zauważyć
- powiadomienie
- Zauważając
- z naszej
- of
- on
- pewnego razu
- ONE
- tylko
- koncepcja
- open source
- or
- orkiestracja
- organizacji
- Pozostałe
- Pokój
- pakiet
- Pakiety
- część
- kawałek
- rurociąg
- Miejsce
- Platforma
- plato
- Analiza danych Platona
- PlatoDane
- odgrywa
- polityka
- praktyki
- teraźniejszość
- Zasady
- priorytetyzacja
- Priorytet
- Proaktywne
- Produkty
- specjalistów
- pochodzenie
- zapewniać
- pod warunkiem,
- dostawców
- że
- publiczny
- jakość
- pytanie
- szybki
- raczej
- RE
- Czerwony
- Red Hat
- odzwierciedla
- polegać
- raport
- składnica
- wymagany
- respondenci
- dochód
- Rola
- run
- s
- bezpieczne
- zabezpieczenia
- bezpieczeństwo
- wydać się
- wybierając
- Usługi
- zestaw
- sklepy
- powinien
- Podpisy
- Tworzenie
- Software Developers
- kilka
- coś
- Źródło
- Kod źródłowy
- specyficzny
- standardy
- Stan
- Rynek
- Ewolucja krok po kroku
- strategie
- Strategia
- Dostawa
- łańcuch dostaw
- Badanie
- systemy
- Zespoły
- Technologia
- Szablony
- niż
- że
- Połączenia
- Informacje
- ich
- Im
- Tam.
- Te
- one
- rzecz
- Trzeci
- to
- tych
- poprzez
- dokręcanie
- do
- narzędzia
- Top
- w kierunku
- tranzyt
- Zaufaj
- zaufany
- ufny
- dwie trzecie
- dla
- posługiwać się
- używany
- Użytkownik
- za pomocą
- wartość
- zweryfikowana
- zweryfikować
- początku.
- przez
- Luki w zabezpieczeniach
- wrażliwość
- Wrażliwy
- czekać
- Nakaz
- Droga..
- były
- jeśli chodzi o komunikację i motywację
- natomiast
- czy
- który
- Podczas
- będzie
- w
- w ciągu
- bez
- by
- You
- zefirnet