Khả năng các tổ chức thu được giá trị từ Kubernetes - và rộng hơn là công nghệ dựa trên nền tảng đám mây - đang bị cản trở bởi những lo ngại về bảo mật. Một trong những mối quan tâm lớn nhất phản ánh một trong những thách thức lớn nhất hiện nay của ngành: đảm bảo chuỗi cung ứng phần mềm.
“ của Red HatBáo cáo trạng thái Kubernetes năm 2023” tìm thấy rằng Bảo mật Kubernetes đang được đặt ra ở một số công ty. Dựa trên khảo sát của các chuyên gia DevOps, kỹ thuật và bảo mật trên toàn cầu, báo cáo cho thấy 67% số người được hỏi đã trì hoãn hoặc làm chậm quá trình triển khai do lo ngại về bảo mật Kubernetes, 37% bị mất doanh thu hoặc mất khách hàng do vùng chứa/Kubernetes sự cố bảo mật và 38% cho rằng bảo mật là mối quan tâm hàng đầu đối với các chiến lược container và Kubernetes.
Chuỗi cung ứng phần mềm ngày càng bị chỉ trích và các cửa hàng Kubernetes đang cảm thấy sức nóng. Khi được hỏi vấn đề bảo mật chuỗi cung ứng phần mềm cụ thể nào mà họ quan tâm nhất, những người trả lời khảo sát của Red Hat đã lưu ý:
- Các thành phần ứng dụng dễ bị tổn thương (32%)
- Kiểm soát truy cập không đầy đủ (30%)
- Thiếu hóa đơn vật liệu phần mềm (SBOM) hoặc xuất xứ (29%)
- Thiếu tự động hóa (29%)
- Thiếu khả năng kiểm toán (28%)
- Hình ảnh vùng chứa không an toàn (27%)
- Thực thi chính sách không nhất quán (24%)
- Điểm yếu của đường ống CI/CD (19%)
- Mẫu IaC không an toàn (19%)
- Điểm yếu kiểm soát phiên bản (17%)
Những lo ngại này dường như có cơ sở trong số những người được hỏi, với hơn một nửa lưu ý rằng họ có kinh nghiệm trực tiếp với gần như tất cả chúng — đặc biệt là các thành phần ứng dụng dễ bị tổn thương và các điểm yếu của đường dẫn CI/CD.
Có rất nhiều điểm trùng lặp giữa các vấn đề này, nhưng các tổ chức có thể giảm thiểu mối lo ngại về tất cả chúng bằng cách tập trung vào một điều: nội dung đáng tin cậy.
Khả năng tin cậy vào nội dung ngày càng trở nên thách thức khi ngày càng có nhiều tổ chức sử dụng mã nguồn mở để phát triển trên nền tảng đám mây. Hơn hai phần ba mã ứng dụng được kế thừa từ các phần phụ thuộc nguồn mở và tin tưởng vào mã đó là chìa khóa để thắt chặt bảo mật ứng dụng và nền tảng, đồng thời, nói rộng ra, đạt được giá trị cao nhất từ nền tảng điều phối vùng chứa.
Thật vậy, các tổ chức không thể tạo ra các sản phẩm và dịch vụ đáng tin cậy trừ khi/cho đến khi họ có thể tin tưởng vào mã được sử dụng để xây dựng chúng. Các danh mục vật liệu phần mềm được thiết kế để giúp đảm bảo nguồn gốc của mã, nhưng chúng không nên được sử dụng riêng lẻ. Đúng hơn, SBOM nên được coi là một phần của chiến lược đa hướng nhằm bảo mật chuỗi cung ứng phần mềm, với nội dung đáng tin cậy làm cốt lõi.
Không có SBOM là một hòn đảo
SBOM cung cấp thông tin mà nhà phát triển cần để đưa ra quyết định sáng suốt về các thành phần mà họ đang tận dụng. Điều này đặc biệt quan trọng khi các nhà phát triển lấy từ nhiều kho và thư viện nguồn mở để xây dựng ứng dụng. Tuy nhiên, sự tồn tại của SBOM không đảm bảo tính toàn vẹn. Đối với một điều, một SBOM chỉ có lợi khi nó được cập nhật và có thể kiểm chứng được. Mặt khác, việc liệt kê tất cả các thành phần của một phần mềm chỉ là bước đầu tiên. Sau khi biết các thành phần, bạn cần xác định xem có vấn đề nào đã biết đối với các thành phần đó hay không.
Các nhà phát triển cần thông tin bảo mật và chất lượng trả trước về các thành phần phần mềm mà họ đang chọn. Các nhà cung cấp phần mềm cũng như người tiêu dùng nên tập trung vào các bản dựng được quản lý và các thư viện nguồn mở cứng đã được xác minh và chứng thực bằng các bước kiểm tra xuất xứ. Công nghệ chữ ký số đóng vai trò quan trọng trong việc đảm bảo rằng tạo phẩm phần mềm không bị thay đổi theo bất kỳ cách nào trong khi truyền từ kho lưu trữ công cộng đến môi trường của người dùng cuối.
Tất nhiên, ngay cả khi có tất cả những điều này, các lỗ hổng vẫn có thể xảy ra. Và, do có số lượng lớn lỗ hổng được xác định trong toàn bộ nhóm nhà phát triển phần mềm dựa vào, nên cần có thêm thông tin để giúp các nhóm đánh giá tác động thực tế của một lỗ hổng đã biết.
Các vấn đề về VEX
Một số vấn đề có tác động lớn hơn những vấn đề khác. Đó là lúc VEX — hay eXchange khả năng khai thác lỗ hổng — xuất hiện. Thông qua tài liệu VEX có thể đọc được bằng máy, các nhà cung cấp phần mềm có thể báo cáo khả năng khai thác các lỗ hổng được tìm thấy trong các phần phụ thuộc của sản phẩm của họ — một cách tối ưu, bằng cách sử dụng hệ thống thông báo và phân tích lỗ hổng chủ động và tự động.
Lưu ý rằng VEX không chỉ cung cấp dữ liệu và trạng thái về lỗ hổng bảo mật; nó cũng bao gồm thông tin về khả năng khai thác. VEX giúp trả lời câu hỏi: Lỗ hổng này có bị khai thác tích cực không? Điều này cho phép khách hàng ưu tiên và quản lý hiệu quả việc khắc phục. Ví dụ: một cái gì đó như Log4j sẽ đảm bảo hành động ngay lập tức, trong khi một lỗ hổng chưa được khai thác đã biết có thể chờ đợi. Các quyết định ưu tiên bổ sung có thể được đưa ra dựa trên việc xác định xem một gói có hiện diện nhưng không được sử dụng hoặc bị lộ hay không.
Chứng thực: Chân thứ ba của chiếc ghế đẩu
Ngoài tài liệu SBOM và VEX, cần phải có chứng thực gói để tạo niềm tin vào nội dung.
Bạn cần biết rằng mã bạn đang sử dụng được phát triển, quản lý và xây dựng dựa trên các nguyên tắc bảo mật cũng như được phân phối cùng với siêu dữ liệu bạn cần để xác minh nguồn gốc và nội dung. Khi cả tài liệu SBOM và VEX đều được cung cấp, bạn có cách ánh xạ các lỗ hổng đã biết tới các thành phần phần mềm trong gói mà bạn đang đánh giá mà không cần phải chạy trình quét lỗ hổng. Khi chữ ký số được sử dụng để chứng thực các gói và siêu dữ liệu liên quan, bạn có cách xác minh rằng nội dung không bị giả mạo trong quá trình truyền tải.
Kết luận
Các tiêu chuẩn, công cụ và phương pháp hay nhất được đề cập phù hợp với (và bổ sung) mô hình DevSecOps và sẽ còn tiến một bước dài trong việc giảm bớt những lo ngại về bảo mật đi đôi với tốc độ triển khai nhanh chóng mà Kubernetes cho phép.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/cloud/kubernetes-software-supply-chain
- : có
- :là
- :không phải
- :Ở đâu
- $ LÊN
- a
- có khả năng
- Giới thiệu
- truy cập
- Hoạt động
- tích cực
- thực tế
- Ngoài ra
- thêm vào
- thông tin bổ sung
- sắp xếp
- như nhau
- Tất cả
- Ngoài ra
- thay đổi
- trong số
- an
- phân tích
- và
- Một
- trả lời
- bất kì
- Các Ứng Dụng
- các ứng dụng
- LÀ
- xung quanh
- AS
- đánh giá
- liên kết
- At
- Tự động
- Tự động hóa
- dựa
- BE
- được
- được
- mang lại lợi ích
- BEST
- thực hành tốt nhất
- Ngoài
- lớn nhất
- Hóa đơn
- cả hai
- rộng rãi
- xây dựng
- xây dựng
- xây dựng
- nhưng
- by
- CAN
- không thể
- chuỗi
- thách thức
- thách thức
- Séc
- mã
- Đến
- đến
- Các công ty
- Bổ sung
- các thành phần
- Liên quan
- quan tâm
- Mối quan tâm
- xem xét
- Người tiêu dùng
- Container
- nội dung
- điều khiển
- điều khiển
- Trung tâm
- Khóa học
- tạo
- lưu trữ
- Current
- khách hàng
- khách hàng
- dữ liệu
- Ngày
- nhiều
- quyết định
- Bị hoan
- giao
- triển khai
- thiết kế
- Xác định
- xác định
- phát triển
- phát triển
- Phát triển
- kỹ thuật số
- tài liệu
- tài liệu hướng dẫn
- tài liệu
- làm
- hai
- hiệu quả
- cho phép
- cuối
- thực thi
- gây ra
- Kỹ Sư
- đảm bảo
- đảm bảo
- Môi trường
- đặc biệt
- đánh giá
- Ngay cả
- ví dụ
- Sàn giao dịch
- sự tồn tại
- kinh nghiệm
- kinh nghiệm
- Khai thác
- khai thác
- tiếp xúc
- mở rộng
- tìm thấy
- Lửa
- Tên
- tập trung
- Trong
- tìm thấy
- từ
- Thu được
- đạt được
- nhận được
- được
- toàn cầu
- Go
- Đi
- tuyệt vời
- lớn hơn
- Một nửa
- tay
- xảy ra
- mũ
- Có
- giúp đỡ
- giúp
- Tuy nhiên
- HTTPS
- xác định
- hình ảnh
- lập tức
- Va chạm
- quan trọng
- in
- sự cố
- bao gồm
- lên
- ngành công nghiệp
- thông tin
- thông báo
- tính toàn vẹn
- cô lập
- các vấn đề
- IT
- jpg
- Key
- Biết
- nổi tiếng
- lớn
- tận dụng
- thư viện
- Lượt thích
- niêm yết
- log4j
- dài
- sự mất
- thực hiện
- làm cho
- quản lý
- bản đồ
- nguyên vật liệu
- đề cập
- Siêu dữ liệu
- Might
- tâm
- kiểu mẫu
- chi tiết
- hầu hết
- nhiều
- gần
- Cần
- cần thiết
- lưu ý
- thông báo
- Lưu ý
- số
- of
- on
- hàng loạt
- ONE
- có thể
- mở
- mã nguồn mở
- or
- dàn nhạc
- tổ chức
- Khác
- Hòa bình
- gói
- gói
- một phần
- mảnh
- đường ống dẫn
- Nơi
- nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- đóng
- điều luật
- thực hành
- trình bày
- nguyên tắc
- ưu tiên
- Ưu tiên
- Chủ động
- Sản phẩm
- chuyên gia
- nguồn gốc
- cho
- cung cấp
- nhà cung cấp
- cung cấp
- công khai
- chất lượng
- câu hỏi
- nhanh
- hơn
- RE
- đỏ
- Red Hat
- phản ánh
- dựa
- báo cáo
- kho
- cần phải
- người trả lời
- doanh thu
- Vai trò
- chạy
- s
- an toàn
- đảm bảo
- an ninh
- hình như
- lựa chọn
- DỊCH VỤ
- định
- cửa hàng
- nên
- Chữ ký
- Phần mềm
- Nhà phát triển phần mềm
- một số
- một cái gì đó
- nguồn
- mã nguồn
- riêng
- tiêu chuẩn
- Tiểu bang
- Trạng thái
- Bước
- chiến lược
- Chiến lược
- cung cấp
- chuỗi cung ứng
- Khảo sát
- hệ thống
- đội
- Công nghệ
- mẫu
- hơn
- việc này
- Sản phẩm
- thông tin
- cung cấp their dịch
- Them
- Đó
- Kia là
- họ
- điều
- Thứ ba
- điều này
- những
- khắp
- thắt chặt
- đến
- công cụ
- hàng đầu
- đối với
- quá cảnh
- NIỀM TIN
- đáng tin cậy
- tin tưởng
- hai phần ba
- Dưới
- sử dụng
- đã sử dụng
- người sử dang
- sử dụng
- giá trị
- xác minh
- xác minh
- rất
- thông qua
- Lỗ hổng
- dễ bị tổn thương
- Dễ bị tổn thương
- chờ đợi
- Sự bảo đảm
- Đường..
- là
- khi nào
- trong khi
- liệu
- cái nào
- trong khi
- sẽ
- với
- ở trong
- không có
- sẽ
- Bạn
- zephyrnet