A capacidade das organizações de obter valor com o Kubernetes — e, de forma mais ampla, com a tecnologia nativa da nuvem — está sendo prejudicada por preocupações com a segurança. Uma das maiores preocupações reflete um dos maiores desafios atuais da indústria: proteger a cadeia de fornecimento de software.
Chapéu Vermelho “Relatório sobre o estado do Kubernetes de 2023" achar algo Segurança do Kubernetes está em questão em algumas empresas. Com base em uma pesquisa com profissionais de DevOps, engenharia e segurança de todo o mundo, o relatório conclui que 67% dos entrevistados atrasaram ou retardaram a implantação devido a preocupações de segurança do Kubernetes, 37% tiveram perda de receita ou de clientes devido a um contêiner/Kubernetes. incidente de segurança, e 38% citam a segurança como uma das principais preocupações com estratégias de contêineres e Kubernetes.
A cadeia de fornecimento de software está cada vez mais sob ataque e as lojas Kubernetes estão sentindo o calor. Quando questionados sobre quais questões específicas de segurança da cadeia de fornecimento de software eles estavam mais preocupados, os entrevistados da pesquisa da Red Hat observaram:
- Componentes de aplicativos vulneráveis (32%)
- Controles de acesso insuficientes (30%)
- Falta de listas de materiais de software (SBOM) ou procedência (29%)
- Falta de automação (29%)
- Falta de auditabilidade (28%)
- Imagens de contêiner inseguras (27%)
- Aplicação inconsistente de políticas (24%)
- Fraquezas do pipeline de CI/CD (19%)
- Modelos IaC inseguros (19%)
- Fraquezas no controle de versão (17%)
Essas preocupações parecem bem fundamentadas entre os entrevistados, com mais da metade observando que têm experiência em primeira mão com quase todos eles – especialmente componentes de aplicativos vulneráveis e pontos fracos do pipeline de CI/CD.
Há muita sobreposição entre essas questões, mas as organizações podem minimizar as preocupações sobre todas elas concentrando-se em uma coisa: conteúdo confiável.
A capacidade de confiar no conteúdo está se tornando cada vez mais desafiadora à medida que mais e mais organizações usam código-fonte aberto para desenvolvimento nativo da nuvem. Mais de dois terços do código do aplicativo é herdado de dependências de código aberto, e confiar nesse código é fundamental para reforçar a segurança de aplicativos e plataformas e, por extensão, obter o máximo valor da plataforma de orquestração de contêineres.
Na verdade, as organizações não podem criar produtos e serviços confiáveis a menos que possam confiar no código usado para construí-los. As listas de materiais de software são projetadas para ajudar a garantir a procedência do código, mas não devem ser usadas isoladamente. Em vez disso, os SBOMs devem ser considerados como parte de uma estratégia multifacetada para proteger a cadeia de fornecimento de software, com conteúdo confiável no centro.
Nenhum SBOM é uma ilha
Os SBOMs fornecem as informações de que os desenvolvedores precisam para tomar decisões informadas sobre os componentes que estão aproveitando. Isso é especialmente importante porque os desenvolvedores utilizam vários repositórios e bibliotecas de código aberto para criar aplicativos. No entanto, a própria existência de um SBOM não garante integridade. Por um lado, um O SBOM é tão benéfico quanto é atualizado e verificável. Por outro lado, listar todos os componentes de um software é apenas o primeiro passo. Depois de conhecer os componentes, você precisará determinar se há problemas conhecidos para eles.
Os desenvolvedores precisam de informações antecipadas de qualidade e segurança sobre os componentes de software que estão selecionando. Tanto os fornecedores de software como os consumidores devem concentrar-se em compilações curadas e bibliotecas de código aberto reforçadas que foram verificadas e atestadas com verificações de proveniência. A tecnologia de assinatura digital desempenha um papel importante para garantir que um artefato de software não seja alterado de forma alguma durante o trânsito do repositório público para o ambiente do usuário final.
É claro que, mesmo com tudo isso implementado, vulnerabilidades acontecem. E, dado o grande número de vulnerabilidades identificadas em todo o conjunto de software em que os desenvolvedores confiam, são necessárias informações adicionais para ajudar as equipes a avaliar o impacto real de uma vulnerabilidade conhecida.
Problemas de VEX
Algumas questões têm um impacto maior do que outras. É aí que entra o VEX - ou Vulnerability Exploitability eXchange. Por meio de um documento VEX legível por máquina, os fornecedores de software podem relatar a exploração de vulnerabilidades encontradas nas dependências de seus produtos - de maneira ideal, usando sistemas proativos e automatizados de análise e notificação de vulnerabilidades.
Observe que a VEX vai além de fornecer dados e status de vulnerabilidade; também inclui informações sobre explorabilidade. VEX ajuda a responder à pergunta: esta vulnerabilidade foi explorada ativamente? Isso permite que os clientes priorizem e gerenciem com eficácia a correção. Algo como o Log4j justificaria uma ação imediata, por exemplo, enquanto uma vulnerabilidade sem exploração conhecida poderia esperar. Decisões adicionais de priorização podem ser tomadas com base na determinação se um pacote está presente, mas não é usado ou exposto.
Atestado: a terceira perna do banco
Além da documentação SBOMs e VEX, o atestado de pacote é necessário para gerar confiança no conteúdo.
Você precisa saber que o código que está usando foi desenvolvido, selecionado e construído com princípios de segurança em mente e entregue com os metadados necessários para verificar a procedência e o conteúdo. Quando documentos SBOMs e VEX são fornecidos, você tem uma maneira de mapear vulnerabilidades conhecidas para componentes de software no pacote que está avaliando, sem a necessidade de executar um scanner de vulnerabilidades. Quando assinaturas digitais são usadas para atestação de pacotes e metadados associados, você tem uma maneira de verificar se o conteúdo não foi adulterado em trânsito.
Conclusão
Os padrões, ferramentas e práticas recomendadas mencionados se alinham (e complementam) o modelo DevSecOps e contribuirão muito para aliviar as preocupações de segurança que andam de mãos dadas com o ritmo rápido de implantação que o Kubernetes permite.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
- Fonte: https://www.darkreading.com/cloud/kubernetes-software-supply-chain
- :tem
- :é
- :não
- :onde
- $UP
- a
- habilidade
- Sobre
- Acesso
- Açao Social
- ativamente
- real
- Adição
- Adicional
- Informação adicional
- alinhar
- muito parecido
- Todos os Produtos
- tb
- alteradas
- entre
- an
- análise
- e
- Outro
- responder
- qualquer
- Aplicação
- aplicações
- SOMOS
- por aí
- AS
- avaliar
- associado
- At
- Automatizado
- Automação
- baseado
- BE
- sido
- ser
- benéfico
- MELHOR
- melhores práticas
- Pós
- O maior
- Contas inclusas
- ambos
- amplamente
- construir
- Constrói
- construído
- mas a
- by
- CAN
- não podes
- cadeia
- desafios
- desafiante
- Cheques
- código
- como
- vem
- Empresas
- Complemento
- componentes
- Interesse
- preocupado
- Preocupações
- considerado
- Consumidores
- Recipiente
- conteúdo
- ao controle
- controles
- núcleo
- Para
- crio
- comissariada
- Atual
- cliente
- Clientes
- dados,
- Data
- acordo
- decisões
- Atrasado
- entregue
- desenvolvimento
- projetado
- Determinar
- determinando
- desenvolvido
- desenvolvedores
- Desenvolvimento
- digital
- documento
- documentação
- INSTITUCIONAIS
- parece
- dois
- efetivamente
- permite
- final
- aplicação
- gerar
- Engenharia
- garantir
- assegurando
- Meio Ambiente
- especialmente
- avaliação
- Mesmo
- exemplo
- exchange
- existência
- vasta experiência
- experiente
- Explorar
- exploradas
- exposto
- extensão
- encontra
- Fogo
- Primeiro nome
- focando
- Escolha
- encontrado
- da
- Ganho
- ganhando
- obtendo
- dado
- globo
- Go
- vai
- ótimo
- maior
- Metade
- mão
- acontecer
- chapéu
- Ter
- ajudar
- ajuda
- Contudo
- HTTPS
- identificado
- imagens
- Imediato
- Impacto
- importante
- in
- incidente
- inclui
- cada vez mais
- indústria
- INFORMAÇÕES
- informado
- integridade
- isolamento
- questões
- IT
- jpg
- Chave
- Saber
- conhecido
- grande
- aproveitando
- bibliotecas
- como
- listagem
- log4j
- longo
- fora
- moldadas
- fazer
- gerencia
- mapa,
- materiais
- mencionado
- metadados
- poder
- mente
- modelo
- mais
- a maioria
- múltiplo
- quase
- você merece...
- necessário
- notado
- notificação
- notando
- números
- of
- on
- uma vez
- ONE
- só
- aberto
- open source
- or
- orquestração
- organizações
- Outros
- Paz
- pacote
- pacotes
- parte
- peça
- oleoduto
- Lugar
- plataforma
- platão
- Inteligência de Dados Platão
- PlatãoData
- desempenha
- Privacidade
- práticas
- presente
- princípios
- priorização
- Priorizar
- Proactive
- Produtos
- proveniência
- fornecer
- fornecido
- fornecedores
- fornecendo
- público
- qualidade
- questão
- rápido
- em vez
- RE
- Vermelho
- Red Hat
- reflete
- depender
- Denunciar
- repositório
- requeridos
- respondentes
- receita
- Tipo
- Execute
- s
- seguro
- assegurando
- segurança
- parecem
- selecionando
- Serviços
- conjunto
- lojas
- rede de apoio social
- Assinaturas
- Software
- Desenvolvedores de software
- alguns
- algo
- fonte
- código fonte
- específico
- padrões
- Estado
- Status
- Passo
- estratégias
- Estratégia
- supply
- cadeia de suprimentos
- Vistorias
- sistemas
- equipes
- Tecnologia
- modelos
- do que
- que
- A
- as informações
- deles
- Eles
- Lá.
- Este
- deles
- coisa
- Terceiro
- isto
- aqueles
- todo
- aperto
- para
- ferramentas
- topo
- para
- trânsito
- Confiança
- confiável
- confiante
- dois terços
- para
- usar
- usava
- Utilizador
- utilização
- valor
- verificado
- verificar
- muito
- via
- vulnerabilidades
- vulnerabilidade
- Vulnerável
- esperar
- Garantia
- Caminho..
- foram
- quando
- enquanto que
- se
- qual
- enquanto
- precisarão
- de
- dentro
- sem
- seria
- Vocês
- zefirnet