The ability of organizations to gain value from Kubernetes — and, more broadly, cloud-native technology — is being hampered by concerns around security. One of the biggest concerns reflects one of the industry’s biggest current challenges: securing the software supply chain.
Red Hat’s “2023 State of Kubernetes Report” found that Kubernetes سیکورٹی is in question at some companies. Based on a survey of DevOps, engineering, and security professionals from around the globe, the report finds that 67% of respondents have delayed or slowed deployment due to Kubernetes security concerns, 37% have experienced revenue or customer loss due to a container/Kubernetes security incident, and 38% cite security as a top concern with container and Kubernetes strategies.
The software supply chain has increasingly come under fire, and Kubernetes shops are feeling the heat. When asked which specific software supply chain security issues they were most concerned with, respondents to the Red Hat survey noted:
- Vulnerable application components (32%)
- Insufficient access controls (30%)
- Lack of software bills of materials (SBOM) or provenance (29%)
- Lack of automation (29%)
- Lack of auditability (28%)
- Insecure container images (27%)
- Inconsistent policy enforcement (24%)
- CI/CD pipeline weaknesses (19%)
- Insecure IaC templates (19%)
- Version control weaknesses (17%)
These concerns seem well-founded among respondents, with more than half noting that they have first-hand experience with nearly all of them — especially vulnerable application components and CI/CD pipeline weaknesses.
There is a great deal of overlap among these issues, but organizations can minimize concerns about all of them by focusing on one thing: trusted content.
The ability to trust content is getting increasingly challenging as more and more organizations use open source code for cloud-native development. More than two-thirds of application code is inherited from open source dependencies, and trusting that code is key to tightening application and platform security, and, by extension, gaining the most value from the container orchestration platform.
Indeed, organizations cannot create trusted products and services unless/until they can trust the code used to build them. Software bills of materials are designed to help ensure the provenance of code, but they should not be used in isolation. Rather, SBOMs should be considered as part of a multipronged strategy to secure the software supply chain, with trusted content at the core.
No SBOM Is an Island
SBOMs provide the information developers need to make informed decisions about the components they’re leveraging. This is especially important as developers pull from multiple open source repositories and libraries to build applications. However, the very existence of an SBOM does not ensure integrity. For one thing, an SBOM is only as beneficial as it is up to date and verifiable. For another, listing all the components of a piece of software is only the first step. Once you know the components, you need to determine whether there are known issues for those components.
Developers need upfront quality and security information about the software components they are selecting. Software providers and consumers alike should be focusing on curated builds and hardened open source libraries that have been verified and attested with provenance checks. Digital signature technology plays an important role in ensuring that a software artifact has not been altered in any way while in transit from the public repository to the end user’s environment.
Of course, even with all of this in place, vulnerabilities happen. And, given the large numbers of vulnerabilities identified throughout the set of software developers rely on, additional information is needed to help teams assess the actual impact of a known vulnerability.
VEX-ing Issues
Some issues have a greater impact than others. That’s where VEX — or Vulnerability Exploitability eXchange — comes in. Via a machine-readable VEX document, software providers can report the exploitability of vulnerabilities found within dependencies of their products — optimally, using proactive and automated vulnerability analysis and notification systems.
Note that VEX goes beyond providing vulnerability data and status; it also includes exploitability information. VEX helps to answer the question: Has this vulnerability been actively exploited? This enables customers to prioritize and effectively manage remediation. Something like Log4j would warrant immediate action, for example, whereas a vulnerability without a known exploit might wait. Additional prioritization decisions can be made based on determining whether a package is present but not used or exposed.
Attestation: The Third Leg of the Stool
In addition to SBOMs and VEX documentation, package attestation is required to engender trust in content.
You need to know that the code you’re using is developed, curated, and built with security principles in mind, and delivered with the metadata you need to verify provenance and content. When both SBOMs and VEX documents are provided, you have a way to map known vulnerabilities to software components in the package you are evaluating, without the need to run a vulnerability scanner. When digital signatures are used for attestation of packages and associated metadata, you have a way to verify that content has not been tampered with in transit.
نتیجہ
The standards, tools, and best practices mentioned align with (and complement) the DevSecOps model, and will go a long way toward alleviating the security concerns that go hand in hand with the rapid pace of deployment that Kubernetes enables.
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ آٹوموٹو / ای وی، کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- بلاک آفسیٹس۔ ماحولیاتی آفسیٹ ملکیت کو جدید بنانا۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/cloud/kubernetes-software-supply-chain
- : ہے
- : ہے
- : نہیں
- :کہاں
- $UP
- a
- کی صلاحیت
- ہمارے بارے میں
- تک رسائی حاصل
- عمل
- فعال طور پر
- اصل
- اس کے علاوہ
- ایڈیشنل
- اضافی معلومات
- سیدھ کریں
- اسی طرح
- تمام
- بھی
- تبدیل
- کے درمیان
- an
- تجزیہ
- اور
- ایک اور
- جواب
- کوئی بھی
- درخواست
- ایپلی کیشنز
- کیا
- ارد گرد
- AS
- تشخیص کریں
- منسلک
- At
- آٹومیٹڈ
- میشن
- کی بنیاد پر
- BE
- رہا
- کیا جا رہا ہے
- فائدہ مند
- BEST
- بہترین طریقوں
- سے پرے
- سب سے بڑا
- بل
- دونوں
- موٹے طور پر
- تعمیر
- بناتا ہے
- تعمیر
- لیکن
- by
- کر سکتے ہیں
- نہیں کر سکتے ہیں
- چین
- چیلنجوں
- چیلنج
- چیک
- کوڈ
- کس طرح
- آتا ہے
- کمپنیاں
- مکمل
- اجزاء
- اندیشہ
- متعلقہ
- اندراج
- سمجھا
- صارفین
- کنٹینر
- مواد
- کنٹرول
- کنٹرول
- کور
- کورس
- تخلیق
- cured
- موجودہ
- گاہک
- گاہکوں
- اعداد و شمار
- تاریخ
- نمٹنے کے
- فیصلے
- تاخیر
- ڈیلیور
- تعیناتی
- ڈیزائن
- اس بات کا تعین
- کا تعین کرنے
- ترقی یافتہ
- ڈویلپرز
- ترقی
- ڈیجیٹل
- دستاویز
- دستاویزات
- دستاویزات
- کرتا
- دو
- مؤثر طریقے
- کے قابل بناتا ہے
- آخر
- نافذ کرنے والے
- پیدا کرنا
- انجنیئرنگ
- کو یقینی بنانے کے
- کو یقینی بنانے ہے
- ماحولیات
- خاص طور پر
- کا جائزہ لینے
- بھی
- مثال کے طور پر
- ایکسچینج
- وجود
- تجربہ
- تجربہ کار
- دھماکہ
- استحصال کیا۔
- ظاہر
- مدت ملازمت میں توسیع
- پتہ ہے
- آگ
- پہلا
- توجہ مرکوز
- کے لئے
- ملا
- سے
- حاصل کرنا
- حاصل کرنا
- حاصل کرنے
- دی
- دنیا
- Go
- جاتا ہے
- عظیم
- زیادہ سے زیادہ
- نصف
- ہاتھ
- ہو
- ٹوپی
- ہے
- مدد
- مدد کرتا ہے
- تاہم
- HTTPS
- کی نشاندہی
- تصاویر
- فوری طور پر
- اثر
- اہم
- in
- واقعہ
- شامل ہیں
- دن بدن
- صنعت
- معلومات
- مطلع
- سالمیت
- تنہائی
- مسائل
- IT
- فوٹو
- کلیدی
- جان
- جانا جاتا ہے
- بڑے
- لیورنگنگ
- لائبریریوں
- کی طرح
- لسٹنگ
- log4j
- لانگ
- بند
- بنا
- بنا
- انتظام
- نقشہ
- مواد
- ذکر کیا
- میٹا ڈیٹا
- شاید
- برا
- ماڈل
- زیادہ
- سب سے زیادہ
- ایک سے زیادہ
- تقریبا
- ضرورت ہے
- ضرورت
- کا کہنا
- نوٹیفیکیشن
- اشارہ
- تعداد
- of
- on
- ایک بار
- ایک
- صرف
- کھول
- اوپن سورس
- or
- آرکیسٹرا
- تنظیمیں
- دیگر
- امن
- پیکج
- پیکجوں کے
- حصہ
- ٹکڑا
- پائپ لائن
- مقام
- پلیٹ فارم
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- ادا کرتا ہے
- پالیسی
- طریقوں
- حال (-)
- اصولوں پر
- ترجیحات
- ترجیح دیں
- چالو
- حاصل
- پیشہ ور ماہرین
- provenance کے
- فراہم
- فراہم
- فراہم کرنے والے
- فراہم کرنے
- عوامی
- معیار
- سوال
- تیزی سے
- بلکہ
- RE
- ریڈ
- ریڈ ہیٹ
- کی عکاسی کرتا ہے
- انحصار کرو
- رپورٹ
- ذخیرہ
- ضرورت
- جواب دہندگان
- آمدنی
- کردار
- رن
- s
- محفوظ بنانے
- محفوظ
- سیکورٹی
- لگتا ہے
- منتخب
- سروسز
- مقرر
- دکانیں
- ہونا چاہئے
- دستخط
- سافٹ ویئر کی
- سافٹ ویئر ڈویلپرز
- کچھ
- کچھ
- ماخذ
- ماخذ کوڈ
- مخصوص
- معیار
- حالت
- درجہ
- مرحلہ
- حکمت عملیوں
- حکمت عملی
- فراہمی
- فراہمی کا سلسلہ
- سروے
- سسٹمز
- ٹیموں
- ٹیکنالوجی
- سانچے
- سے
- کہ
- ۔
- کے بارے میں معلومات
- ان
- ان
- وہاں.
- یہ
- وہ
- بات
- تھرڈ
- اس
- ان
- بھر میں
- سخت
- کرنے کے لئے
- اوزار
- سب سے اوپر
- کی طرف
- ٹرانزٹ
- بھروسہ رکھو
- قابل اعتماد
- اعتماد کرنا
- دو تہائی
- کے تحت
- استعمال کی شرائط
- استعمال کیا جاتا ہے
- رکن کا
- کا استعمال کرتے ہوئے
- قیمت
- تصدیق
- اس بات کی تصدیق
- بہت
- کی طرف سے
- نقصان دہ
- خطرے کا سامنا
- قابل اطلاق
- انتظار
- وارینٹ
- راستہ..
- تھے
- جب
- جبکہ
- چاہے
- جس
- جبکہ
- گے
- ساتھ
- کے اندر
- بغیر
- گا
- تم
- زیفیرنیٹ