Organisationers förmåga att få värde från Kubernetes – och mer allmänt, molnbaserad teknik – hämmas av oro kring säkerhet. En av de största problemen återspeglar en av branschens största nuvarande utmaningar: att säkra mjukvaruförsörjningskedjan.
Red Hats "2023 State of Kubernetes rapport" hittade det Kubernetes säkerhet är i fråga på vissa företag. Baserat på en undersökning bland DevOps-, ingenjörs- och säkerhetsproffs från hela världen, visar rapporten att 67 % av de tillfrågade har försenat eller fördröjt implementeringen på grund av Kubernetes säkerhetsproblem, 37 % har upplevt intäkter eller kundförlust på grund av en container/Kubernetes säkerhetsincident, och 38 % nämner säkerhet som ett huvudproblem med container- och Kubernetes-strategier.
Mjukvaruförsörjningskedjan har alltmer hamnat under eld och Kubernetes butiker känner av värmen. När de tillfrågades vilka specifika säkerhetsproblem för mjukvaruförsörjningskedjan de var mest bekymrade över, noterade respondenterna i Red Hat-undersökningen:
- Sårbara applikationskomponenter (32 %)
- Otillräckliga åtkomstkontroller (30 %)
- Brist på mjukvaruförteckningar (SBOM) eller härkomst (29 %)
- Brist på automatisering (29 %)
- Brist på granskning (28 %)
- Osäkra behållarbilder (27 %)
- Inkonsekvent policytillämpning (24 %)
- CI/CD pipeline svagheter (19 %)
- Osäkra IaC-mallar (19 %)
- Versionskontrollsvagheter (17 %)
Dessa farhågor verkar välgrundade bland respondenterna, och mer än hälften noterar att de har förstahandserfarenhet av nästan alla av dem – särskilt sårbara applikationskomponenter och svagheter i CI/CD-pipeline.
Det finns en stor överlappning mellan dessa frågor, men organisationer kan minimera oro för dem alla genom att fokusera på en sak: pålitligt innehåll.
Möjligheten att lita på innehåll blir alltmer utmanande eftersom fler och fler organisationer använder öppen källkod för molnbaserad utveckling. Mer än två tredjedelar av applikationskoden ärvs från beroenden av öppen källkod, och att lita på att koden är nyckeln till att skärpa applikations- och plattformssäkerheten, och i förlängningen få ut det mesta värdet av containerorkestreringsplattformen.
Organisationer kan faktiskt inte skapa pålitliga produkter och tjänster om inte/tills de kan lita på koden som används för att bygga dem. Programvarulistor är utformade för att hjälpa till att säkerställa kodens härkomst, men de bör inte användas isolerat. Snarare bör SBOM betraktas som en del av en mångsidig strategi för att säkra mjukvaruförsörjningskedjan, med pålitligt innehåll i kärnan.
Ingen SBOM är en ö
SBOM:er ger den information som utvecklare behöver för att fatta välgrundade beslut om de komponenter som de använder. Detta är särskilt viktigt eftersom utvecklare hämtar från flera arkiv och bibliotek med öppen källkod för att bygga applikationer. Själva existensen av en SBOM säkerställer dock inte integriteten. För en sak, en SBOM är bara så fördelaktigt som det är uppdaterat och verifierbart. För en annan är att lista alla komponenter i en mjukvara bara det första steget. När du känner till komponenterna måste du avgöra om det finns kända problem för dessa komponenter.
Utvecklare behöver förhandsinformation om kvalitet och säkerhet om de programvarukomponenter de väljer. Både programvaruleverantörer och konsumenter bör fokusera på utvalda versioner och hårdnade bibliotek med öppen källkod som har verifierats och attesterats med härkomstkontroller. Digital signaturteknik spelar en viktig roll för att säkerställa att en mjukvaruartefakt inte har ändrats på något sätt under transporten från det offentliga arkivet till slutanvändarens miljö.
Naturligtvis, även med allt detta på plats, inträffar sårbarheter. Och med tanke på det stora antalet sårbarheter som identifieras i hela uppsättningen av mjukvaruutvecklare, behövs ytterligare information för att hjälpa team att bedöma den faktiska effekten av en känd sårbarhet.
VEX-ing Issues
Vissa frågor har större genomslagskraft än andra. Det är där VEX – eller Vulnerability Exploitability eXchange – kommer in. Via ett maskinläsbart VEX-dokument kan programvaruleverantörer rapportera exploateringsmöjligheterna för sårbarheter som finns inom beroenden av deras produkter – optimalt, med hjälp av proaktiv och automatiserad sårbarhetsanalys och aviseringssystem.
Observera att VEX går längre än att tillhandahålla sårbarhetsdata och status; den innehåller också information om utnyttjande. VEX hjälper till att svara på frågan: Har denna sårbarhet utnyttjats aktivt? Detta gör det möjligt för kunderna att prioritera och effektivt hantera sanering. Något som Log4j skulle motivera omedelbar åtgärd, till exempel, medan en sårbarhet utan en känd exploatering kan vänta. Ytterligare prioriteringsbeslut kan fattas baserat på att avgöra om ett paket finns men inte används eller exponeras.
Intyg: Det tredje benet på pallen
Förutom SBOM och VEX-dokumentation krävs paketbekräftelse för att skapa förtroende för innehållet.
Du måste veta att koden du använder är utvecklad, kurerad och byggd med säkerhetsprinciper i åtanke, och levereras med den metadata du behöver för att verifiera härkomst och innehåll. När både SBOM och VEX-dokument tillhandahålls har du ett sätt att kartlägga kända sårbarheter till programvarukomponenter i paketet du utvärderar, utan att behöva köra en sårbarhetsskanner. När digitala signaturer används för attestering av paket och tillhörande metadata har du ett sätt att verifiera att innehållet inte har manipulerats under transporten.
Slutsats
Standarderna, verktygen och bästa praxis som nämns överensstämmer med (och kompletterar) DevSecOps-modellen och kommer att gå långt för att lindra säkerhetsproblemen som går hand i hand med den snabba implementeringstakten som Kubernetes möjliggör.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Fordon / elbilar, Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- BlockOffsets. Modernisera miljökompensation ägande. Tillgång här.
- Källa: https://www.darkreading.com/cloud/kubernetes-software-supply-chain
- : har
- :är
- :inte
- :var
- $UPP
- a
- förmåga
- Om Oss
- tillgång
- Handling
- aktivt
- faktiska
- Dessutom
- Annat
- ytterligare information
- rikta
- lika
- Alla
- också
- förändrad
- bland
- an
- analys
- och
- Annan
- svara
- vilken som helst
- Ansökan
- tillämpningar
- ÄR
- runt
- AS
- bedöma
- associerad
- At
- Automatiserad
- Automation
- baserat
- BE
- varit
- Där vi får lov att vara utan att konstant prestera,
- fördelaktigt
- BÄST
- bästa praxis
- Bortom
- störst
- Sedlar
- båda
- brett
- SLUTRESULTAT
- bygger
- byggt
- men
- by
- KAN
- kan inte
- kedja
- utmaningar
- utmanande
- Kontroller
- koda
- komma
- kommer
- Företag
- Komplement
- komponenter
- Oro
- aktuella
- oro
- anses
- konsumenter
- Behållare
- innehåll
- kontroll
- kontroller
- Kärna
- Kurs
- skapa
- kurerad
- Aktuella
- kund
- Kunder
- datum
- Datum
- behandla
- beslut
- Försenad
- levereras
- utplacering
- utformade
- Bestämma
- bestämmande
- utvecklade
- utvecklare
- Utveckling
- digital
- dokumentera
- dokumentation
- dokument
- gör
- grund
- effektivt
- möjliggör
- änden
- tillämpning
- framkalla
- Teknik
- säkerställa
- säkerställa
- Miljö
- speciellt
- utvärdering
- Även
- exempel
- utbyta
- Förekomsten
- erfarenhet
- erfaren
- Exploit
- utnyttjas
- utsatta
- förlängning
- fynd
- natur
- Förnamn
- fokusering
- För
- hittade
- från
- Få
- få
- få
- ges
- globen
- Go
- Går
- stor
- större
- Hälften
- sidan
- hända
- har
- Har
- hjälpa
- hjälper
- Men
- HTTPS
- identifierade
- bilder
- omedelbar
- Inverkan
- med Esport
- in
- incident
- innefattar
- alltmer
- industrin
- informationen
- informeras
- integritet
- isolering
- problem
- IT
- jpg
- Nyckel
- Vet
- känd
- Large
- hävstångs
- bibliotek
- tycka om
- lista
- log4j
- Lång
- förlust
- gjord
- göra
- hantera
- karta
- material
- nämnts
- metadata
- kanske
- emot
- modell
- mer
- mest
- multipel
- nästan
- Behöver
- behövs
- noterade
- anmälan
- notera
- nummer
- of
- on
- gång
- ONE
- endast
- öppet
- öppen källkod
- or
- orkestrering
- organisationer
- Övrigt
- Fred
- paket
- paket
- del
- bit
- rörledning
- Plats
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- spelar
- policy
- praxis
- presentera
- Principerna
- prioritering
- Prioritera
- Proaktiv
- Produkter
- yrkesmän/kvinnor
- härkomst
- ge
- förutsatt
- leverantörer
- tillhandahålla
- allmän
- kvalitet
- fråga
- snabb
- snarare
- RE
- Red
- Red Hat
- Reflekterar
- förlita
- rapport
- Repository
- Obligatorisk
- svarande
- intäkter
- Roll
- Körning
- s
- säkra
- säkring
- säkerhet
- verka
- väljer
- Tjänster
- in
- affärer
- skall
- signaturer
- Mjukvara
- Programutvecklare
- några
- något
- Källa
- källkod
- specifik
- standarder
- Ange
- status
- Steg
- strategier
- Strategi
- leverera
- leveranskedjan
- Undersökning
- System
- lag
- Teknologi
- mallar
- än
- den där
- Smakämnen
- den information
- deras
- Dem
- Där.
- Dessa
- de
- sak
- Tredje
- detta
- de
- hela
- åtdragande
- till
- verktyg
- topp
- mot
- transitering
- Litar
- betrodd
- lita
- två tredjedelar
- under
- användning
- Begagnade
- Användare
- med hjälp av
- värde
- verifierade
- verifiera
- mycket
- via
- sårbarheter
- sårbarhet
- Sårbara
- vänta
- Motivera
- Sätt..
- były
- när
- medan
- om
- som
- medan
- kommer
- med
- inom
- utan
- skulle
- Om er
- zephyrnet