Chainguard, dostawca zabezpieczeń łańcucha dostaw oprogramowania, wprowadza na rynek swój pierwszy produkt - Chainguard Enforce, natywną aplikację Kubernetes do zabezpieczania wdrażania obrazów kontenerów.

Enforce został zaprojektowany tak, aby umożliwić deweloperom definiowanie, obserwowanie, rozpowszechnianie i wdrażanie polityk, które zapewnią, że tylko zaufane obrazy kontenerów będą wdrażane i uruchamiane w ich klastrach.

Zobacz również:

• Uwierzytelnianie bez haseł – 10 rozwiązań
• IBM prezentuje modele fundamentalne generatywnej AI

„Chainguard Enforce bazuje na podpisach kryptograficznych, co pozwala na uwierzytelnienie zawartości obrazu, a nie miejsca, z którego został on dostarczony” - mówi Kim Lewandowski, współzałożycielka Chainguard. „System ten może być wykorzystywany do ochrony przed zagrożeniami ze strony osób trzecich oraz do ograniczania wdrożeń produkcyjnych do zestawu wysoce zabezpieczonych systemów budowania”.

Obraz kontenera odnosi się do statycznego pliku z kodem wykonywalnym, który może utworzyć kontener w systemie obliczeniowym. Kontener zawiera wiele pakietów aplikacji i wszystkie zasoby składowe, które mogą być uruchamiane w dowolnym środowisku. Z kolei Kubernetes to orkiestracja typu open-source, która automatyzuje wdrażanie, skalowanie i zarządzanie skonteneryzowanymi aplikacjami.

Enforce jest oparty na projekcie open source Sigstore, który zabezpiecza łańcuchy dostaw oprogramowania poprzez tworzenie cyfrowych podpisów dla różnych komponentów aplikacji.

„Bezpieczeństwo kontenerów wiąże się z wieloma wyzwaniami, począwszy od przepełnionych obrazów, poprzez rozrost kontenerów, luki w świadomości, aż po luki w kontroli” - mówi Sandy Carielli, analityk z firmy Forrester. „Rozwiązanie Chainguard koncentruje się na lukach w kontroli. Klienci nadal będą potrzebowali szeregu innych narzędzi i procesów, aby spełnić wymagania dotyczące bezpieczeństwa kontenerów”. Według Carielli, usunięcie wszelkich zbędnych lub nieużywanych komponentów, które mogłyby zwiększyć powierzchnię ataku, zwiększa wiarygodność obrazów kontenerów.

Enforce wspiera integrację systemów kompilacji i zgodność z przepisami

System Enforce będzie zawierał cztery główne komponenty z przyjaznym dla programistów interfejsem wiersza poleceń (CLI). Komponenty te to agent polityk, integracja systemu budowania, ciągła weryfikacja i jezioro dowodów.

Policy Agent: agent tylko do odczytu obsługujący polityki i konfiguracje dla poszczególnych klastrów, które mogą być centralnie zarządzane i administrowane w środowiskach wielo-klastrowych. Zawarte definicje polityk są oparte na standardach open-source’owych poziomów łańcucha dostaw dla artefaktów oprogramowania (SLSA) oraz standardach SSDF (secure software development framework).

Integracja z systemami budowania: integracja z wieloma platformami CI, takimi jak GitHub Actions, CircleCI, BuildKite i GitLab, umożliwiająca usprawnienie rozwoju i śledzenie oryginalnych środowisk kodu źródłowego. Integracje są szybkie do zainstalowania i skonfigurowania dla zespołów DevOps.

Ciągła weryfikacja: posiada spójne wsparcie dla ostrzegania o odchyleniach od zdefiniowanych polityk i zgodności w obrazach kontenerów.

Evidence Lake: odnosi się do inwentaryzacji zasobów w czasie rzeczywistym, która zapewnia wgląd w stan bezpieczeństwa w całej organizacji, w tym w narzędzia deweloperskie, odzyskiwanie incydentów, usuwanie błędów i automatyzację audytów.

„Jednym z kluczowych zastosowań Chainguard Enforce jest pomoc organizacjom w lepszym opanowaniu systemów budowania oprogramowania, ponieważ są one częstym wektorem ataków” - mówi Lewandowski. „Zaczynamy od bardzo normatywnego zestawu polityk przeznaczonych dla poziomów zarządzania kluczami i SLSA, bez pełnego języka. Rozważamy również wykorzystanie Cue do definiowania ograniczeń i schematów”.

Configure Unify Execute (Cue) to język typu open-source z zestawem interfejsów API i narzędzi do kodowania, pisania skryptów i zapytań.

Źródło: CSO