Способность организаций извлекать выгоду из Kubernetes — и, в более широком смысле, облачных технологий — ограничивается опасениями по поводу безопасности. Одна из самых больших проблем отражает одну из самых больших текущих проблем отрасли: обеспечение безопасности цепочки поставок программного обеспечения.
«Красная шляпа»Отчет о состоянии Kubernetes за 2023 г." Обнаружил, что Безопасность Kubernetes находится под вопросом в некоторых компаниях. Основываясь на опросе специалистов DevOps, инженеров и специалистов по безопасности со всего мира, отчет показывает, что 67 % респондентов задержали или замедлили развертывание из-за проблем с безопасностью Kubernetes, 37 % испытали потерю доходов или клиентов из-за контейнера / Kubernetes. инцидент с безопасностью, а 38% называют безопасность главной проблемой при использовании контейнеров и стратегий Kubernetes.
Цепочка поставок программного обеспечения все чаще подвергается критике, и магазины Kubernetes чувствуют жару. На вопрос о том, какие конкретные проблемы безопасности цепочки поставок программного обеспечения их больше всего беспокоят, респонденты опроса Red Hat отметили:
- Уязвимые компоненты приложений (32%)
- Недостаточный контроль доступа (30%)
- Отсутствие спецификаций программного обеспечения (SBOM) или происхождения (29%)
- Отсутствие автоматизации (29%)
- Отсутствие возможности аудита (28%)
- Небезопасные образы контейнеров (27%)
- Непоследовательное применение политики (24%)
- Недостатки конвейера CI/CD (19%)
- Небезопасные шаблоны IaC (19%)
- Недостатки контроля версий (17%)
Эти опасения кажутся вполне обоснованными среди респондентов, причем более половины отметили, что они имеют непосредственный опыт работы почти со всеми из них, особенно с уязвимыми компонентами приложений и недостатками конвейера CI/CD.
Эти вопросы во многом пересекаются, но организации могут свести к минимуму опасения по поводу всех из них, сосредоточившись на одном: надежном контенте.
Возможность доверять контенту становится все более сложной задачей, поскольку все больше и больше организаций используют открытый исходный код для облачной разработки. Более двух третей кода приложения наследуется от зависимостей с открытым исходным кодом, и доверие к этому коду является ключом к ужесточению безопасности приложений и платформы и, как следствие, получению максимальной отдачи от платформы оркестрации контейнеров.
Действительно, организации не могут создавать надежные продукты и услуги до тех пор, пока они не смогут доверять коду, используемому для их создания. Спецификации программного обеспечения разработаны, чтобы помочь гарантировать происхождение кода, но их не следует использовать изолированно. Скорее, SBOM следует рассматривать как часть комплексной стратегии по обеспечению безопасности цепочки поставок программного обеспечения, в основе которой лежит доверенный контент.
Никакой SBOM не является островом
SBOM предоставляют разработчикам информацию, необходимую для принятия обоснованных решений о компонентах, которые они используют. Это особенно важно, поскольку разработчики используют несколько репозиториев и библиотек с открытым исходным кодом для создания приложений. Однако само существование SBOM не гарантирует целостности. Во-первых, SBOM полезен настолько, насколько он актуален и поддается проверке. С другой стороны, перечисление всех компонентов программного обеспечения — это только первый шаг. Как только вы узнаете компоненты, вам нужно определить, существуют ли известные проблемы для этих компонентов.
Разработчикам нужна предварительная информация о качестве и безопасности программных компонентов, которые они выбирают. Как поставщики программного обеспечения, так и потребители должны сосредоточиться на тщательно отобранных сборках и защищенных библиотеках с открытым исходным кодом, которые были проверены и подтверждены проверкой происхождения. Технология цифровой подписи играет важную роль в обеспечении того, чтобы артефакт программного обеспечения не был каким-либо образом изменен при перемещении из общедоступного репозитория в среду конечного пользователя.
Конечно, даже при наличии всего этого случаются уязвимости. И, учитывая большое количество уязвимостей, выявленных в наборе, на который полагаются разработчики программного обеспечения, необходима дополнительная информация, чтобы помочь командам оценить фактическое воздействие известной уязвимости.
Проблемы с VEX
Некоторые проблемы оказывают большее влияние, чем другие. Вот где на помощь приходит VEX — или обмен информацией об использовании уязвимостей. С помощью машиночитаемого документа VEX поставщики программного обеспечения могут сообщать об использовании уязвимостей, обнаруженных в зависимостях их продуктов — оптимальным образом, используя упреждающий и автоматизированный анализ уязвимостей и системы уведомлений.
Обратите внимание, что VEX не ограничивается предоставлением данных об уязвимостях и статусе; он также включает информацию об использовании. VEX помогает ответить на вопрос: активно ли эксплуатировалась эта уязвимость? Это позволяет клиентам расставлять приоритеты и эффективно управлять восстановлением. Например, что-то вроде Log4j потребует немедленных действий, тогда как уязвимость без известного эксплойта может подождать. Дополнительные решения о приоритизации могут быть приняты на основе определения того, присутствует ли пакет, но не используется или не выставлен.
Аттестация: третья ножка стула
В дополнение к документам SBOM и VEX требуется аттестация пакета, чтобы вызвать доверие к содержимому.
Вы должны знать, что код, который вы используете, разработан, курирован и создан с учетом принципов безопасности и поставляется с метаданными, необходимыми для проверки происхождения и содержимого. Когда предоставляются как SBOM, так и документы VEX, у вас есть способ сопоставить известные уязвимости с программными компонентами в оцениваемом пакете без необходимости запуска сканера уязвимостей. Когда цифровые подписи используются для аттестации пакетов и связанных с ними метаданных, у вас есть способ убедиться, что содержимое не было изменено при передаче.
Заключение
Упомянутые стандарты, инструменты и передовой опыт соответствуют модели DevSecOps (и дополняют ее) и будут иметь большое значение для решения проблем безопасности, связанных с быстрым темпом развертывания, который обеспечивает Kubernetes.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
- Источник: https://www.darkreading.com/cloud/kubernetes-software-supply-chain
- :имеет
- :является
- :нет
- :куда
- $UP
- a
- способность
- О нас
- доступ
- Действие
- активно
- фактического соединения
- дополнение
- дополнительный
- Дополнительная информация
- выравнивать
- одинаково
- Все
- причислены
- изменен
- среди
- an
- анализ
- и
- Другой
- ответ
- любой
- Применение
- Приложения
- МЫ
- около
- AS
- оценить
- связанный
- At
- Автоматизированный
- автоматизация
- основанный
- BE
- было
- не являетесь
- полезный
- ЛУЧШЕЕ
- лучшие практики
- Beyond
- Крупнейшая
- Банкноты
- изоферменты печени
- широко
- строить
- строит
- построенный
- но
- by
- CAN
- не могу
- цепь
- проблемы
- сложные
- Проверки
- код
- как
- выходит
- Компании
- комплемент
- компоненты
- Беспокойство
- обеспокоенный
- Обеспокоенность
- считается
- Потребители
- Container
- содержание
- контроль
- контрольная
- Основные
- "Курс"
- Создайте
- Куратор
- Текущий
- клиент
- Клиенты
- данным
- Время
- сделка
- решения
- Задерживается
- поставляется
- развертывание
- предназначенный
- Определять
- определения
- развитый
- застройщиков
- Развитие
- Интернет
- документ
- документации
- Документация
- приносит
- два
- фактически
- позволяет
- конец
- принуждение
- порождать
- Проект и
- обеспечивать
- обеспечение
- Окружающая среда
- особенно
- оценки
- Даже
- пример
- обмена
- существование
- опыт
- опытные
- Эксплуатировать
- Эксплуатируемый
- подвергаться
- расширение
- находит
- Для пожарных
- Во-первых,
- фокусировка
- Что касается
- найденный
- от
- Gain
- получение
- получающий
- данный
- земной шар
- Go
- идет
- большой
- большой
- Половина
- рука
- происходить
- имеет
- Есть
- помощь
- помогает
- Однако
- HTTPS
- идентифицированный
- изображений
- немедленная
- Влияние
- важную
- in
- инцидент
- включает в себя
- все больше и больше
- промышленность
- информация
- сообщил
- целостность
- изоляция
- вопросы
- IT
- JPG
- Основные
- Знать
- известный
- большой
- Используя
- библиотеки
- такое как
- листинг
- Лог4дж
- Длинное
- от
- сделанный
- сделать
- управлять
- карта
- материалы
- упомянутый
- Метаданные
- может быть
- против
- модель
- БОЛЕЕ
- самых
- с разными
- почти
- Необходимость
- необходимый
- отметил,
- уведомление
- отметив,
- номера
- of
- on
- консолидировать
- ONE
- только
- открытый
- с открытым исходным кодом
- or
- оркестровка
- организации
- Другое
- Темп
- пакет
- пакеты
- часть
- кусок
- трубопровод
- Часть
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- играет
- политика
- практиками
- представить
- Принципы
- приоритетов
- Расставляйте приоритеты
- Проактивная
- Продукция
- профессионалы
- происхождение
- обеспечивать
- при условии
- поставщики
- обеспечение
- что такое варган?
- вопрос
- быстро
- скорее
- RE
- Red
- Red Hat
- отражает
- полагаться
- отчету
- хранилище
- обязательный
- респондентов
- доходы
- Роли
- Run
- s
- безопасный
- обеспечение
- безопасность
- казаться
- выбор
- Услуги
- набор
- магазинов
- должен
- Подписи
- Software
- Разработчики программного обеспечения
- некоторые
- удалось
- Источник
- исходный код
- конкретный
- стандартов
- Область
- Статус:
- Шаг
- стратегий
- Стратегия
- поставка
- цепочками поставок
- Опрос
- системы
- команды
- Технологии
- шаблоны
- чем
- который
- Ассоциация
- информация
- их
- Их
- Там.
- Эти
- они
- задача
- В третьих
- этой
- те
- по всему
- затягивание
- в
- инструменты
- топ
- к
- транзит
- Доверие
- надежных
- доверие
- две трети
- под
- использование
- используемый
- Информация о пользователе
- через
- ценностное
- проверено
- проверить
- очень
- с помощью
- Уязвимости
- уязвимость
- Уязвимый
- ждать
- варрант
- Путь..
- были
- когда
- в то время как
- будь то
- , которые
- в то время как
- будете
- в
- без
- бы
- Ты
- зефирнет