翻译自 The First Kubernetes Bill of Materials Standard Arrives 。
软件物料清单已经成为代码安全防御中常见的一部分。现在,针对 Kubernetes 的也有了。
如果你还没有使用软件物料清单(SBOM),那么很快你将开始使用。它们被视为构建代码安全防御的基础工作。虽然有许多 SBOM 标准,比如软件包数据交换(SPDX),CycloneDX,以及 GitHub 的依赖项提交格式,但直到现在,针对流行的容器编排程序 Kubernetes 还没有一个专门的标准。现在有了 Kubernetes 安全运营中心(KSOC) 的 Kubernetes 物料清单(KBOM)标准。
在这个早期阶段, KBOM 是一个初稿。它提供了 JavaScript 对象表示法(JSON)的初始规范。已经证明它可以与 Kubernetes 1.19 及更高版本、超大规模的云服务提供商以及自行构建的 Kubernetes 配合使用。
通过 KBOM 的外壳界面,云安全团队可以全面了解其环境中的第三方工具。这一发展旨在加快对新的 Kubernetes 工具漏洞的响应速度。
然而,既然已经存在许多 SBOM 标准,那么真的有必要开发一个专门针对 Kubernetes 的 SBOM 吗?鉴于超过 96% 的组织使用 Kubernetes 来进行容器部署编排,显然在这方面存在着部署安全的差距。毕竟,Kubernetes 的安全采用率仍然较低,2022 年只有 34% 。确切地了解环境范围是保护 Kubernetes 的一个主要障碍。
正如 KSOC 的首席技术官 Jimmy Mesta 解释的那样:“ Kubernetes 正在为许多我们熟知和喜爱的大型商业品牌进行应用编排。采用率不再是一个借口,然而从安全的角度来看,当涉及到标准和合规指南时,我们始终将 Kubernetes 本身排除在讨论之外,只关注应用部署之前的活动。”因此,“我们发布这个 KBOM 标准作为第一步,将 Kubernetes 纳入到合规指南的讨论中。”
为了满足这些需求,KBOM 提供了对 Kubernetes 集群元素的简明概述,包括:
- 工作负载数量。
- 托管服务的成本和类型。
- 内部和托管镜像的漏洞。
- 第三方定制,例如部署的自定义资源、身份验证和服务网格。
- 托管平台、Kubelet 等的版本详细信息。
听起来很有趣吗?确实如此。要参与贡献,您可以立即下载 CLI 工具或了解更多关于该标准的信息。您还可以通过 GitHub 页面参与这个基于 Apache 2 开源程序的开发。