ความสามารถขององค์กรในการได้รับคุณค่าจาก Kubernetes และเทคโนโลยีคลาวด์เนทีฟในวงกว้าง กำลังถูกขัดขวางจากความกังวลเรื่องความปลอดภัย ข้อกังวลที่ใหญ่ที่สุดประการหนึ่งสะท้อนให้เห็นถึงความท้าทายที่ใหญ่ที่สุดประการหนึ่งของอุตสาหกรรมในปัจจุบัน นั่นคือ การรักษาความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์
หมวกแดง”รายงานสถานะของ Kubernetes ปี 2023” พบว่า ความปลอดภัยของคูเบอร์เนเตส เป็นปัญหาในบางบริษัท จากการสำรวจของผู้เชี่ยวชาญด้าน DevOps วิศวกรรม และความปลอดภัยจากทั่วโลก รายงานพบว่า 67% ของผู้ตอบแบบสอบถามมีความล่าช้าหรือชะลอการใช้งานเนื่องจากข้อกังวลด้านความปลอดภัยของ Kubernetes 37% ประสบปัญหารายได้หรือการสูญเสียลูกค้าเนื่องจากคอนเทนเนอร์/Kubernetes เหตุการณ์ด้านความปลอดภัย และ 38% ระบุว่าความปลอดภัยเป็นปัญหาอันดับต้นๆ สำหรับกลยุทธ์คอนเทนเนอร์และ Kubernetes
ห่วงโซ่อุปทานซอฟต์แวร์กำลังถูกวิจารณ์มากขึ้น และร้านค้า Kubernetes ก็เริ่มรู้สึกร้อน เมื่อถูกถามว่าปัญหาด้านความปลอดภัยในห่วงโซ่อุปทานซอฟต์แวร์ใดที่พวกเขากังวลมากที่สุด ผู้ตอบแบบสอบถามของ Red Hat ระบุว่า:
- ส่วนประกอบแอปพลิเคชันที่มีช่องโหว่ (32%)
- การควบคุมการเข้าถึงไม่เพียงพอ (30%)
- ขาดรายการวัสดุซอฟต์แวร์ (SBOM) หรือแหล่งที่มา (29%)
- ขาดระบบอัตโนมัติ (29%)
- ขาดความสามารถในการตรวจสอบ (28%)
- ภาพคอนเทนเนอร์ที่ไม่ปลอดภัย (27%)
- การบังคับใช้นโยบายที่ไม่สอดคล้องกัน (24%)
- จุดอ่อนไปป์ไลน์ CI/CD (19%)
- เทมเพลต IaC ที่ไม่ปลอดภัย (19%)
- จุดอ่อนในการควบคุมเวอร์ชัน (17%)
ข้อกังวลเหล่านี้ดูเหมือนจะมีรากฐานมาจากผู้ตอบแบบสอบถาม โดยมากกว่าครึ่งสังเกตว่าพวกเขามีประสบการณ์ตรงกับเกือบทุกคน โดยเฉพาะส่วนประกอบของแอปพลิเคชันที่มีช่องโหว่และจุดอ่อนไปป์ไลน์ CI/CD
มีการทับซ้อนกันอย่างมากในปัญหาเหล่านี้ แต่องค์กรสามารถลดความกังวลเกี่ยวกับปัญหาเหล่านี้ทั้งหมดได้โดยมุ่งเน้นไปที่สิ่งเดียว: เนื้อหาที่เชื่อถือได้
ความสามารถในการเชื่อถือเนื้อหากำลังท้าทายมากขึ้นเรื่อยๆ เนื่องจากองค์กรจำนวนมากขึ้นเรื่อยๆ ใช้โค้ดโอเพ่นซอร์สเพื่อการพัฒนาแบบคลาวด์เนทีฟ มากกว่าสองในสามของรหัสแอปพลิเคชัน ได้รับการสืบทอดมาจากการพึ่งพาโอเพ่นซอร์ส และการไว้วางใจว่าโค้ดนั้นเป็นกุญแจสำคัญในการรักษาความปลอดภัยของแอปพลิเคชันและแพลตฟอร์มให้เข้มงวดยิ่งขึ้น และโดยการขยายออกไป จะได้รับประโยชน์สูงสุดจากแพลตฟอร์มการจัดการคอนเทนเนอร์
แท้จริงแล้ว องค์กรต่างๆ ไม่สามารถสร้างผลิตภัณฑ์และบริการที่เชื่อถือได้ เว้นแต่/จนกว่าพวกเขาจะสามารถเชื่อถือโค้ดที่ใช้ในการสร้างได้ รายการวัสดุซอฟต์แวร์ได้รับการออกแบบมาเพื่อช่วยรับรองแหล่งที่มาของโค้ด แต่ไม่ควรใช้แยกกัน แต่ควรพิจารณา SBOM ว่าเป็นส่วนหนึ่งของกลยุทธ์หลายด้านเพื่อรักษาความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์ โดยมีเนื้อหาที่เชื่อถือได้เป็นแกนหลัก
ไม่มี SBOM ที่เป็นเกาะ
SBOM ให้ข้อมูลแก่นักพัฒนาที่จำเป็นในการตัดสินใจอย่างมีข้อมูลเกี่ยวกับองค์ประกอบที่พวกเขาใช้ประโยชน์ สิ่งนี้สำคัญอย่างยิ่งเมื่อนักพัฒนาดึงข้อมูลจากแหล่งเก็บข้อมูลและไลบรารีโอเพ่นซอร์สหลายแห่งเพื่อสร้างแอปพลิเคชัน อย่างไรก็ตาม การมีอยู่ของ SBOM ไม่ได้รับประกันความสมบูรณ์ ประการหนึ่งคือ SBOM จะมีประโยชน์ก็ต่อเมื่อมีความทันสมัยและตรวจสอบได้เท่านั้น. อีกประการหนึ่ง การแสดงส่วนประกอบทั้งหมดของซอฟต์แวร์เป็นเพียงขั้นตอนแรกเท่านั้น เมื่อคุณทราบส่วนประกอบต่างๆ แล้ว คุณต้องพิจารณาว่าส่วนประกอบเหล่านั้นมีปัญหาที่ทราบหรือไม่
นักพัฒนาต้องการข้อมูลคุณภาพและความปลอดภัยล่วงหน้าเกี่ยวกับส่วนประกอบซอฟต์แวร์ที่พวกเขาเลือก ผู้ให้บริการซอฟต์แวร์และผู้บริโภคควรมุ่งเน้นไปที่บิวด์ที่ได้รับการดูแลจัดการและไลบรารีโอเพ่นซอร์สที่แข็งแกร่งซึ่งได้รับการตรวจสอบและรับรองด้วยการตรวจสอบแหล่งที่มา เทคโนโลยีลายเซ็นดิจิทัลมีบทบาทสำคัญในการทำให้แน่ใจว่าสิ่งประดิษฐ์ซอฟต์แวร์จะไม่มีการเปลี่ยนแปลงใดๆ ในขณะขนส่งจากพื้นที่เก็บข้อมูลสาธารณะไปยังสภาพแวดล้อมของผู้ใช้ปลายทาง
แน่นอนว่าถึงแม้จะมีทั้งหมดนี้แล้ว ช่องโหว่ก็ยังเกิดขึ้นได้ และเนื่องจากช่องโหว่จำนวนมากที่ระบุทั่วทั้งกลุ่มนักพัฒนาซอฟต์แวร์ต้องพึ่งพา ข้อมูลเพิ่มเติมจึงเป็นสิ่งจำเป็นเพื่อช่วยให้ทีมประเมินผลกระทบที่แท้จริงของช่องโหว่ที่ทราบ
ปัญหา VEX
ปัญหาบางประเด็นมีผลกระทบมากกว่าปัญหาอื่นๆ นั่นคือที่มาของ VEX หรือ Vulnerability Exploitability eXchange ผู้ให้บริการซอฟต์แวร์สามารถรายงานความสามารถในการใช้ประโยชน์จากช่องโหว่ที่พบในการพึ่งพาผลิตภัณฑ์ของตนผ่านเอกสาร VEX ที่เครื่องอ่านได้ อย่างเหมาะสม โดยใช้ระบบการแจ้งเตือนและการวิเคราะห์ช่องโหว่เชิงรุกแบบอัตโนมัติ
โปรดทราบว่า VEX เป็นมากกว่าการให้ข้อมูลและสถานะช่องโหว่ แต่ยังรวมถึงข้อมูลความสามารถในการแสวงหาผลประโยชน์ด้วย VEX ช่วยตอบคำถาม: ช่องโหว่นี้ถูกใช้อย่างแข็งขันหรือไม่? ช่วยให้ลูกค้าจัดลำดับความสำคัญและจัดการการแก้ไขได้อย่างมีประสิทธิภาพ บางอย่างเช่น Log4j จะต้องรับประกันการดำเนินการในทันที ในขณะที่ช่องโหว่ที่ไม่มีช่องโหว่ที่รู้จักอาจรออยู่ การตัดสินใจจัดลำดับความสำคัญเพิ่มเติมสามารถกระทำได้โดยพิจารณาจากว่ามีบรรจุภัณฑ์อยู่แต่ไม่ได้ใช้หรือเปิดเผยหรือไม่
เอกสารรับรอง: ขาที่สามของเก้าอี้
นอกเหนือจากเอกสาร SBOM และ VEX แล้ว จำเป็นต้องมีการรับรองแพ็คเกจเพื่อสร้างความน่าเชื่อถือในเนื้อหา
คุณจำเป็นต้องรู้ว่าโค้ดที่คุณใช้นั้นได้รับการพัฒนา ดูแลจัดการ และสร้างโดยคำนึงถึงหลักการด้านความปลอดภัย และจัดส่งพร้อมกับข้อมูลเมตาที่คุณต้องการในการตรวจสอบแหล่งที่มาและเนื้อหา เมื่อมีการจัดเตรียมเอกสาร SBOM และ VEX คุณจะมีวิธีแมปช่องโหว่ที่ทราบกับส่วนประกอบซอฟต์แวร์ในแพ็คเกจที่คุณกำลังประเมิน โดยไม่จำเป็นต้องเรียกใช้เครื่องสแกนช่องโหว่ เมื่อใช้ลายเซ็นดิจิทัลเพื่อรับรองแพ็คเกจและข้อมูลเมตาที่เกี่ยวข้อง คุณจะมีวิธีตรวจสอบได้ว่าเนื้อหาไม่ได้ถูกดัดแปลงระหว่างการขนส่ง
สรุป
มาตรฐาน เครื่องมือ และแนวทางปฏิบัติที่ดีที่สุดที่กล่าวถึงนั้นสอดคล้องกับ (และเสริม) โมเดล DevSecOps และจะช่วยบรรเทาข้อกังวลด้านความปลอดภัยที่เกิดขึ้นควบคู่ไปกับความรวดเร็วในการปรับใช้ที่ Kubernetes ทำได้
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cloud/kubernetes-software-supply-chain
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- $ ขึ้น
- a
- ความสามารถ
- เกี่ยวกับเรา
- เข้า
- การกระทำ
- อย่างกระตือรือร้น
- ที่เกิดขึ้นจริง
- นอกจากนี้
- เพิ่มเติม
- ข้อมูลเพิ่มเติม
- จัดแนว
- เหมือนกัน
- ทั้งหมด
- ด้วย
- เปลี่ยนแปลง
- ในหมู่
- an
- การวิเคราะห์
- และ
- อื่น
- คำตอบ
- ใด
- การใช้งาน
- การใช้งาน
- เป็น
- รอบ
- AS
- ประเมินผล
- ที่เกี่ยวข้อง
- At
- อัตโนมัติ
- อัตโนมัติ
- ตาม
- BE
- รับ
- กำลัง
- เป็นประโยชน์
- ที่ดีที่สุด
- ปฏิบัติที่ดีที่สุด
- เกิน
- ที่ใหญ่ที่สุด
- ธนบัตร
- ทั้งสอง
- แต้
- สร้าง
- สร้าง
- สร้าง
- แต่
- by
- CAN
- ไม่ได้
- โซ่
- ความท้าทาย
- ท้าทาย
- การตรวจสอบ
- รหัส
- อย่างไร
- มา
- บริษัท
- ส่วนประกอบ
- ส่วนประกอบ
- กังวล
- เกี่ยวข้อง
- ความกังวลเกี่ยวกับ
- ถือว่า
- ผู้บริโภค
- ภาชนะ
- เนื้อหา
- ควบคุม
- การควบคุม
- แกน
- คอร์ส
- สร้าง
- curated
- ปัจจุบัน
- ลูกค้า
- ลูกค้า
- ข้อมูล
- วันที่
- จัดการ
- การตัดสินใจ
- ล่าช้า
- ส่ง
- การใช้งาน
- ได้รับการออกแบบ
- กำหนด
- การกำหนด
- พัฒนา
- นักพัฒนา
- พัฒนาการ
- ดิจิตอล
- เอกสาร
- เอกสาร
- เอกสาร
- ทำ
- สอง
- มีประสิทธิภาพ
- ช่วยให้
- ปลาย
- การบังคับใช้
- ทำให้เกิด
- ชั้นเยี่ยม
- ทำให้มั่นใจ
- การสร้างความมั่นใจ
- สิ่งแวดล้อม
- โดยเฉพาะอย่างยิ่ง
- การประเมินการ
- แม้
- ตัวอย่าง
- ตลาดแลกเปลี่ยน
- การดำรงอยู่
- ประสบการณ์
- มีประสบการณ์
- เอาเปรียบ
- ใช้ประโยชน์
- ที่เปิดเผย
- นามสกุล
- พบ
- ธรรมชาติ
- ชื่อจริง
- โดยมุ่งเน้น
- สำหรับ
- พบ
- ราคาเริ่มต้นที่
- ได้รับ
- ดึงดูด
- ได้รับ
- กำหนด
- โลก
- Go
- ไป
- ยิ่งใหญ่
- มากขึ้น
- ครึ่ง
- มือ
- เกิดขึ้น
- หมวก
- มี
- ช่วย
- จะช่วยให้
- อย่างไรก็ตาม
- HTTPS
- ระบุ
- ภาพ
- ทันที
- ส่งผลกระทบ
- สำคัญ
- in
- อุบัติการณ์
- รวมถึง
- ขึ้น
- อุตสาหกรรม
- ข้อมูล
- แจ้ง
- ความสมบูรณ์
- ความเหงา
- ปัญหา
- IT
- jpg
- คีย์
- ทราบ
- ที่รู้จักกัน
- ใหญ่
- การใช้ประโยชน์
- ห้องสมุด
- กดไลก์
- รายการ
- log4j
- นาน
- ปิด
- ทำ
- ทำ
- จัดการ
- แผนที่
- วัสดุ
- กล่าวถึง
- เมตาดาต้า
- อาจ
- ใจ
- แบบ
- ข้อมูลเพิ่มเติม
- มากที่สุด
- หลาย
- เกือบทั้งหมด
- จำเป็นต้อง
- จำเป็น
- เด่น
- การประกาศ
- สังเกต
- ตัวเลข
- of
- on
- ครั้งเดียว
- ONE
- เพียง
- เปิด
- โอเพนซอร์ส
- or
- ประสาน
- องค์กร
- ผลิตภัณฑ์อื่นๆ
- ก้าว
- แพ็คเกจ
- แพคเกจ
- ส่วนหนึ่ง
- ชิ้น
- ท่อ
- สถานที่
- เวที
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- เล่น
- นโยบาย
- การปฏิบัติ
- นำเสนอ
- หลักการ
- จัดลำดับความสำคัญ
- จัดลำดับความสำคัญ
- เชิงรุก
- ผลิตภัณฑ์
- มืออาชีพ
- ราก
- ให้
- ให้
- ผู้ให้บริการ
- การให้
- สาธารณะ
- คุณภาพ
- คำถาม
- รวดเร็ว
- ค่อนข้าง
- RE
- สีแดง
- หมวกสีแดง
- สะท้อนให้เห็นถึง
- วางใจ
- รายงาน
- กรุ
- จำเป็นต้องใช้
- ผู้ตอบแบบสอบถาม
- รายได้
- บทบาท
- วิ่ง
- s
- ปลอดภัย
- การรักษา
- ความปลอดภัย
- ดูเหมือน
- การเลือก
- บริการ
- ชุด
- ร้านขายของ
- น่า
- ลายเซ็น
- ซอฟต์แวร์
- นักพัฒนาซอฟต์แวร์
- บาง
- บางสิ่งบางอย่าง
- แหล่ง
- รหัสแหล่งที่มา
- โดยเฉพาะ
- มาตรฐาน
- สถานะ
- Status
- ขั้นตอน
- กลยุทธ์
- กลยุทธ์
- จัดหาอุปกรณ์
- ห่วงโซ่อุปทาน
- การสำรวจ
- ระบบ
- ทีม
- เทคโนโลยี
- แม่แบบ
- กว่า
- ที่
- พื้นที่
- ข้อมูล
- ของพวกเขา
- พวกเขา
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- สิ่ง
- ที่สาม
- นี้
- เหล่านั้น
- ตลอด
- กระชับ
- ไปยัง
- เครื่องมือ
- ด้านบน
- ไปทาง
- การขนส่ง
- วางใจ
- ที่เชื่อถือ
- ไว้วางใจ
- สองในสาม
- ภายใต้
- ใช้
- มือสอง
- ผู้ใช้งาน
- การใช้
- ความคุ้มค่า
- การตรวจสอบแล้ว
- ตรวจสอบ
- มาก
- ผ่านทาง
- ช่องโหว่
- ความอ่อนแอ
- อ่อนแอ
- รอ
- หมาย
- ทาง..
- คือ
- เมื่อ
- แต่ทว่า
- ว่า
- ที่
- ในขณะที่
- จะ
- กับ
- ภายใน
- ไม่มี
- จะ
- คุณ
- ลมทะเล