组织从 Kubernetes 以及更广泛的云原生技术中获取价值的能力因安全问题而受到阻碍。 最令人担忧的问题之一反映了该行业当前最大的挑战之一:确保软件供应链的安全。
红帽的“2023 年 Kubernetes 状况报告”发现 Kubernetes 安全 在一些公司中存在疑问。 根据对全球 DevOps、工程和安全专业人士的调查,该报告发现,67% 的受访者由于 Kubernetes 安全问题而延迟或放慢了部署速度,37% 的受访者因容器/Kubernetes 经历了收入或客户流失安全事件,38% 的人将安全视为容器和 Kubernetes 策略的首要关注点。
软件供应链受到越来越多的批评,Kubernetes 商店也感受到了压力。 当被问及他们最关心哪些具体软件供应链安全问题时,红帽调查的受访者指出:
- 易受攻击的应用程序组件 (32%)
- 访问控制不足(30%)
- 缺乏软件物料清单 (SBOM) 或出处 (29%)
- 缺乏自动化(29%)
- 缺乏可审计性(28%)
- 不安全的容器镜像 (27%)
- 政策执行不一致(24%)
- CI/CD 管道弱点 (19%)
- 不安全的 IaC 模板 (19%)
- 版本控制弱点 (17%)
这些担忧在受访者中似乎是有根据的,超过一半的人指出他们对几乎所有这些问题都有第一手经验——尤其是易受攻击的应用程序组件和 CI/CD 管道弱点。
这些问题之间有很多重叠,但组织可以通过关注一件事来最大程度地减少对所有这些问题的担忧:可信内容。
随着越来越多的组织使用开源代码进行云原生开发,信任内容的能力变得越来越具有挑战性。 超过三分之二的应用程序代码 继承自开源依赖项,并且信任该代码是加强应用程序和平台安全性的关键,并且通过扩展,从容器编排平台获得最大价值。
事实上,组织无法创建可信的产品和服务,除非/直到他们可以信任用于构建它们的代码。 软件物料清单旨在帮助确保代码的来源,但不应单独使用它们。 相反,SBOM 应被视为确保软件供应链安全的多管齐下战略的一部分,以可信内容为核心。
没有 SBOM 是一座孤岛
SBOM 提供开发人员所需的信息,以便他们就所使用的组件做出明智的决策。 当开发人员从多个开源存储库和库中提取内容来构建应用程序时,这一点尤其重要。 然而,SBOM 的存在并不能确保完整性。 一方面,一个 SBOM 只有保持最新且可验证才能发挥作用。 另一方面,列出软件的所有组件只是第一步。 了解组件后,您需要确定这些组件是否存在已知问题。
开发人员需要有关他们所选择的软件组件的预先质量和安全信息。 软件提供商和消费者都应该关注经过来源检查验证和证明的精心策划的构建和强化的开源库。 数字签名技术在确保软件工件从公共存储库传输到最终用户环境的过程中不被任何方式更改方面发挥着重要作用。
当然,即使所有这些都到位,漏洞还是会发生。 而且,考虑到开发人员所依赖的整个软件集合中发现了大量漏洞,因此需要额外的信息来帮助团队评估已知漏洞的实际影响。
VEX问题
有些问题比其他问题的影响更大。 这就是 VEX(或漏洞利用 eXchange)的用武之地。通过机器可读的 VEX 文档,软件提供商可以报告其产品依赖项中发现的漏洞的可利用性 - 最好使用主动和自动化的漏洞分析和通知系统。
请注意,VEX 不仅仅提供漏洞数据和状态; 它还包括可利用性信息。 VEX 有助于回答这个问题:此漏洞是否已被积极利用? 这使客户能够确定优先级并有效地管理补救措施。 例如,像 Log4j 这样的东西需要立即采取行动,而没有已知利用的漏洞可能会等待。 可以根据确定包是否存在但未使用或暴露来做出附加优先级决策。
证明:凳子的第三条腿
除了 SBOM 和 VEX 文档之外,还需要包证明才能产生对内容的信任。
您需要知道您使用的代码是根据安全原则进行开发、策划和构建的,并附带验证来源和内容所需的元数据。 当提供 SBOM 和 VEX 文档时,您可以将已知漏洞映射到您正在评估的软件包中的软件组件,而无需运行漏洞扫描程序。 当数字签名用于证明包和相关元数据时,您可以验证内容在传输过程中没有被篡改。
结论
提到的标准、工具和最佳实践与 DevSecOps 模型一致(并补充),并且将大大有助于缓解与 Kubernetes 实现的快速部署密切相关的安全问题。
- :具有
- :是
- :不是
- :在哪里
- $UP
- a
- 对,能力--
- 关于
- ACCESS
- 操作
- 积极地
- 实际
- 增加
- 额外
- 附加信息
- 对齐
- 一样
- 所有类型
- 还
- 改变
- 其中
- an
- 分析
- 和
- 另一个
- 回答
- 任何
- 应用领域
- 应用领域
- 保健
- 围绕
- AS
- 评估
- 相关
- At
- 自动化
- 自动化和干细胞工程
- 基于
- BE
- 很
- 作为
- 有利
- 最佳
- 最佳实践
- 超越
- 最大
- 票据
- 都
- 宽广地
- 建立
- 建立
- 建
- 但是
- by
- CAN
- 不能
- 链
- 挑战
- 挑战
- 支票
- 码
- 如何
- 购买的订单均
- 公司
- 补充
- 组件
- 关心
- 关心
- 关注
- 考虑
- 消费者
- 容器
- 内容
- 控制
- 控制
- 核心
- 套餐
- 创建信息图
- 策划
- 电流
- 顾客
- 合作伙伴
- data
- 日期
- 处理
- 决定
- 延迟
- 提升
- 部署
- 设计
- 确定
- 确定
- 发达
- 开发
- 研发支持
- 数字
- 文件
- 文件
- 文件
- 不
- 两
- 只
- 使
- 结束
- 强制
- 产生
- 工程师
- 确保
- 保证
- 环境
- 特别
- 评估
- 甚至
- 例子
- 交换
- 存在
- 体验
- 有经验
- 利用
- 剥削
- 裸露
- 延期
- 发现
- 大火
- (名字)
- 聚焦
- 针对
- 发现
- 止
- Gain增益
- 获得
- 越来越
- 特定
- 地球
- Go
- GOES
- 大
- 更大的
- 半
- 手
- 发生
- 帽子
- 有
- 帮助
- 帮助
- 但是
- HTTPS
- 确定
- 图片
- 即时
- 影响力故事
- 重要
- in
- 事件
- 包括
- 日益
- 行业中的应用:
- 信息
- 通知
- 诚信
- 隔离
- 问题
- IT
- JPG
- 键
- 知道
- 已知
- 大
- 借力
- 库
- 喜欢
- 清单
- 日志4j
- 长
- 离
- 制成
- 使
- 管理
- 地图
- 物料
- 提到
- 元数据
- 可能
- 介意
- 模型
- 更多
- 最先进的
- 多
- 几乎
- 需求
- 打印车票
- 注意到
- 通知
- 注意
- 数字
- of
- on
- 一旦
- 一
- 仅由
- 打开
- 开放源码
- or
- 管弦乐编曲
- 组织
- 其它
- 步伐
- 包
- 包
- 部分
- 片
- 管道
- 地方
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 扮演
- 政策
- 做法
- 当下
- 原则
- 优先级
- 优先
- 主动
- 核心产品
- 专业人士
- 出处
- 提供
- 提供
- 供应商
- 优
- 国家
- 质量
- 题
- 快
- 宁
- RE
- 红色
- 红帽
- 反映
- 依靠
- 报告
- 知识库
- 必须
- 受访者
- 收入
- 角色
- 运行
- s
- 安全
- 保障
- 保安
- 似乎
- 选择
- 特色服务
- 集
- 商店
- 应该
- 签名
- 软件
- 软件开发者
- 一些
- 东西
- 来源
- 源代码
- 具体的
- 标准
- 州/领地
- Status
- 步
- 策略
- 策略
- 供应
- 供应链
- 调查
- 产品
- 队
- 专业技术
- 模板
- 比
- 这
- 信息
- 其
- 他们
- 那里。
- 博曼
- 他们
- 事
- 第三
- Free Introduction
- 那些
- 始终
- 紧缩
- 至
- 工具
- 最佳
- 对于
- 过境
- 信任
- 信任
- 信任
- 三分之二
- 下
- 使用
- 用过的
- 用户
- 运用
- 折扣值
- 专利
- 确认
- 非常
- 通过
- 漏洞
- 漏洞
- 脆弱
- 等待
- 认股证
- 方法..
- 为
- ,尤其是
- 而
- 是否
- 这
- 而
- 将
- 中
- 也完全不需要
- 将
- 完全
- 和风网