Kuruluşların Kubernetes'ten ve daha genel anlamda bulut tabanlı teknolojiden değer elde etme yeteneği, güvenlikle ilgili endişeler nedeniyle sekteye uğruyor. En büyük endişelerden biri sektörün en büyük mevcut zorluklarından birini yansıtıyor: yazılım tedarik zincirinin güvenliğinin sağlanması.
Red Hat'in “2023 Kubernetes Durumu Raporu" bulundu Kubernetes güvenliği Bazı firmalarda söz konusu. Dünyanın dört bir yanından DevOps, mühendislik ve güvenlik uzmanlarıyla yapılan bir ankete dayanan rapor, katılımcıların %67'sinin Kubernetes güvenlik endişeleri nedeniyle dağıtımı geciktirdiğini veya yavaşlattığını, %37'sinin ise konteyner/Kubernetes nedeniyle gelir veya müşteri kaybı yaşadığını ortaya koyuyor güvenlik olayı ve %38'i konteyner ve Kubernetes stratejilerinde güvenliğin en önemli endişe kaynağı olduğunu belirtiyor.
Yazılım tedarik zinciri giderek daha fazla ateş altında kalıyor ve Kubernetes mağazaları da bu sıcaklığı hissediyor. Red Hat anketine katılanlar, kendilerine en çok hangi spesifik yazılım tedarik zinciri güvenliği sorunlarıyla ilgilendikleri sorulduğunda şunları kaydetti:
- Savunmasız uygulama bileşenleri (%32)
- Yetersiz erişim kontrolleri (%30)
- Yazılım malzeme listesi (SBOM) veya kaynak eksikliği (%29)
- Otomasyon eksikliği (%29)
- Denetlenebilirlik eksikliği (%28)
- Güvenli olmayan konteyner görüntüleri (%27)
- Tutarsız politika uygulaması (%24)
- CI/CD ardışık düzeni zayıflıkları (%19)
- Güvenli olmayan IaC şablonları (%19)
- Sürüm kontrolü zayıflıkları (%17)
Bu endişeler katılımcılar arasında sağlam temellere dayanıyor gibi görünüyor; katılımcıların yarısından fazlası neredeyse tamamıyla (özellikle de savunmasız uygulama bileşenleri ve CI/CD hattı zayıflıkları) ilk elden deneyime sahip olduklarını belirtiyor.
Bu sorunlar arasında çok fazla örtüşme var ancak kuruluşlar tek bir şeye odaklanarak hepsiyle ilgili endişeleri en aza indirebilir: güvenilir içerik.
Giderek daha fazla kuruluş bulutta yerel geliştirme için açık kaynak kodu kullandığından, içeriğe güvenme yeteneği giderek zorlaşıyor. Uygulama kodunun üçte ikisinden fazlası açık kaynak bağımlılıklarından miras alınır ve bu koda güvenmek, uygulama ve platform güvenliğini sıkılaştırmanın ve buna bağlı olarak konteyner düzenleme platformundan en fazla değeri elde etmenin anahtarıdır.
Gerçekten de kuruluşlar, bunları oluşturmak için kullanılan koda güvenmedikleri sürece/tamamen güvenilir ürün ve hizmetler oluşturamazlar. Yazılım malzeme listeleri, kodun kaynağını sağlamaya yardımcı olmak için tasarlanmıştır ancak bunlar tek başına kullanılmamalıdır. Bunun yerine, SBOM'lar, merkezinde güvenilir içerik bulunan, yazılım tedarik zincirini güvence altına almaya yönelik çok yönlü bir stratejinin parçası olarak değerlendirilmelidir.
Hayır SBOM Bir Adadır
SBOM'lar, geliştiricilerin yararlandıkları bileşenler hakkında bilinçli kararlar almaları için ihtiyaç duydukları bilgileri sağlar. Bu özellikle geliştiricilerin uygulama oluşturmak için birden fazla açık kaynak deposundan ve kitaplıktan yararlanması nedeniyle önemlidir. Ancak bir SBOM'un varlığı bütünlüğü garanti etmez. Bir kere, bir SBOM yalnızca güncel ve doğrulanabilir olduğu kadar faydalıdır. İkincisi, bir yazılımın tüm bileşenlerini listelemek yalnızca ilk adımdır. Bileşenleri öğrendikten sonra bu bileşenler için bilinen sorunların olup olmadığını belirlemeniz gerekir.
Geliştiricilerin, seçtikleri yazılım bileşenleri hakkında ön kalite ve güvenlik bilgilerine ihtiyaçları vardır. Yazılım sağlayıcıları ve tüketiciler, kaynak kontrolleriyle doğrulanmış ve onaylanmış, özel olarak hazırlanmış yapılara ve güçlendirilmiş açık kaynak kitaplıklara odaklanmalıdır. Dijital imza teknolojisi, bir yazılım eserinin genel depodan son kullanıcının ortamına geçerken hiçbir şekilde değiştirilmemesini sağlamada önemli bir rol oynar.
Elbette tüm bunlar mevcut olsa bile güvenlik açıkları ortaya çıkıyor. Yazılım geliştiricilerin güvendiği çok sayıda güvenlik açığı olduğu göz önüne alındığında, ekiplerin bilinen bir güvenlik açığının gerçek etkisini değerlendirmesine yardımcı olmak için ek bilgilere ihtiyaç vardır.
VEX Sorunları
Bazı sorunların diğerlerinden daha büyük etkisi vardır. İşte tam burada VEX - veya Güvenlik Açığı İstismar Edilebilirliği eXchange - devreye giriyor. Makine tarafından okunabilen bir VEX belgesi aracılığıyla, yazılım sağlayıcıları, proaktif ve otomatik güvenlik açığı analizi ve bildirim sistemlerini kullanarak, ürünlerinin bağımlılıklarında bulunan güvenlik açıklarından yararlanılabilirliğini en iyi şekilde raporlayabilir.
VEX'in güvenlik açığı verilerini ve durumunu sağlamanın ötesine geçtiğini unutmayın; aynı zamanda kullanılabilirlik bilgilerini de içerir. VEX şu soruyu yanıtlamaya yardımcı olur: Bu güvenlik açığından aktif olarak yararlanıldı mı? Bu, müşterilerin iyileştirmeyi önceliklendirmesine ve etkili bir şekilde yönetmesine olanak tanır. Örneğin Log4j gibi bir şey anında harekete geçilmesini gerektirirken, bilinen bir istismarı olmayan bir güvenlik açığı bekleyebilir. Bir paketin mevcut olup olmadığının ancak kullanılmadığının veya açığa çıkmadığının belirlenmesine dayalı olarak ek önceliklendirme kararları verilebilir.
Kanıt: Taburenin Üçüncü Ayağı
İçerikte güven oluşturmak için SBOM'lara ve VEX belgelerine ek olarak paket onayı da gereklidir.
Kullandığınız kodun güvenlik ilkeleri göz önünde bulundurularak geliştirildiğini, derlendiğini ve oluşturulduğunu ve kaynağını ve içeriğini doğrulamak için ihtiyaç duyduğunuz meta verilerle birlikte sunulduğunu bilmeniz gerekir. Hem SBOM'lar hem de VEX belgeleri sağlandığında, bir güvenlik açığı tarayıcısı çalıştırmaya gerek kalmadan, bilinen güvenlik açıklarını değerlendirdiğiniz paketteki yazılım bileşenleriyle eşlemenin bir yoluna sahip olursunuz. Paketlerin ve ilgili meta verilerin doğrulanması için dijital imzalar kullanıldığında, içeriğin aktarım sırasında tahrif edilmediğini doğrulamanın bir yoluna sahip olursunuz.
Sonuç
Bahsedilen standartlar, araçlar ve en iyi uygulamalar DevSecOps modeliyle uyumludur (ve tamamlar) ve Kubernetes'in mümkün kıldığı hızlı dağıtım hızıyla el ele giden güvenlik kaygılarının azaltılmasına yönelik uzun bir yol kat edecektir.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. Otomotiv / EV'ler, karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- Blok Ofsetleri. Çevre Dengeleme Sahipliğini Modernleştirme. Buradan Erişin.
- Kaynak: https://www.darkreading.com/cloud/kubernetes-software-supply-chain
- :vardır
- :dır-dir
- :olumsuzluk
- :Neresi
- $UP
- a
- kabiliyet
- Hakkımızda
- erişim
- Action
- aktif
- gerçek
- ilave
- Ek
- Ek Bilgi
- hizalamak
- benzer
- Türkiye
- Ayrıca
- değişmiş
- arasında
- an
- analiz
- ve
- Başka
- cevap
- herhangi
- Uygulama
- uygulamaları
- ARE
- etrafında
- AS
- belirlemek
- ilişkili
- At
- Otomatik
- Otomasyon
- merkezli
- BE
- olmuştur
- olmak
- faydalı
- İYİ
- en iyi uygulamalar
- Ötesinde
- Biggest
- Fatura
- her ikisi de
- geniş
- inşa etmek
- inşa
- yapılı
- fakat
- by
- CAN
- yapamam
- zincir
- zorluklar
- zor
- Çekler
- kod
- nasıl
- geliyor
- Şirketler
- Tamamlayıcı
- bileşenler
- İlgilendirmek
- ilgili
- Endişeler
- kabul
- Tüketiciler
- Konteyner
- içerik
- kontrol
- kontroller
- çekirdek
- Kurs
- yaratmak
- küratörlüğünü
- akım
- müşteri
- Müşteriler
- veri
- Tarih
- anlaşma
- kararlar
- Gecikmeli
- teslim edilen
- açılma
- tasarlanmış
- Belirlemek
- belirlenmesi
- gelişmiş
- geliştiriciler
- gelişme
- dijital
- belge
- belgeleme
- evraklar
- yok
- gereken
- etkili bir şekilde
- sağlar
- son
- uygulama
- doğurmak
- Mühendislik
- sağlamak
- sağlanması
- çevre
- özellikle
- değerlendirilmesi
- Hatta
- örnek
- takas
- varoluş
- deneyim
- deneyimli
- sömürmek
- sömürülen
- maruz
- uzatma
- bulur
- Ateş
- Ad
- odaklanma
- İçin
- bulundu
- itibaren
- Kazanç
- kazanma
- alma
- verilmiş
- dünya
- Go
- Goes
- harika
- büyük
- Yarım
- el
- olmak
- şapka
- Var
- yardım et
- yardımcı olur
- Ancak
- HTTPS
- tespit
- görüntüleri
- Acil
- darbe
- önemli
- in
- olay
- içerir
- giderek
- sanayi
- bilgi
- bilgi
- bütünlük
- izolasyon
- sorunlar
- IT
- jpg
- anahtar
- Bilmek
- bilinen
- büyük
- kaldıraç
- kütüphaneler
- sevmek
- listeleme
- log4j
- Uzun
- kayıp
- yapılmış
- yapmak
- yönetmek
- harita
- malzemeler
- adı geçen
- Metadata
- olabilir
- akla
- model
- Daha
- çoğu
- çoklu
- neredeyse
- gerek
- gerekli
- ünlü
- tebliğ
- belirterek
- sayılar
- of
- on
- bir Zamanlar
- ONE
- bir tek
- açık
- açık kaynak
- or
- orkestrasyon
- organizasyonlar
- Diğer
- Barış
- paket
- paketler
- Bölüm
- parça
- boru hattı
- yer
- platform
- Platon
- Plato Veri Zekası
- PlatoVeri
- çalış
- politika
- uygulamalar
- mevcut
- ilkeler
- önceliklendirme
- Öncelik
- Proaktif
- Ürünler
- profesyoneller
- kaynak
- sağlamak
- sağlanan
- sağlayıcılar
- sağlama
- halka açık
- kalite
- soru
- hızlı
- daha doğrusu
- RE
- Kırmızı
- katolik kardinal şapkası
- yansıtır
- güvenmek
- rapor
- Depo
- gereklidir
- katılımcıların
- gelir
- Rol
- koşmak
- s
- güvenli
- sabitleme
- güvenlik
- görünmek
- seçme
- Hizmetler
- set
- dükkanlar
- meli
- İmzalar
- Yazılım
- Yazılım geliştiricileri
- biraz
- bir şey
- Kaynak
- kaynak kodu
- özel
- standartlar
- Eyalet
- Durum
- adım
- stratejileri
- Stratejileri
- arz
- tedarik zinciri
- Anket
- Sistemler
- takım
- Teknoloji
- şablonları
- göre
- o
- The
- Bilgi
- ve bazı Asya
- Onları
- Orada.
- Bunlar
- onlar
- şey
- Üçüncü
- Re-Tweet
- Bu
- boyunca
- sıkma
- için
- araçlar
- üst
- karşı
- transit
- Güven
- Güvenilir
- güvenen
- üçte iki
- altında
- kullanım
- Kullanılmış
- kullanıcı
- kullanma
- değer
- Doğrulanmış
- doğrulamak
- çok
- üzerinden
- güvenlik açıkları
- güvenlik açığı
- Savunmasız
- beklemek
- Varant
- Yol..
- vardı
- ne zaman
- oysa
- olup olmadığını
- hangi
- süre
- irade
- ile
- içinde
- olmadan
- olur
- Sen
- zefirnet