摘要:軟件供應(yīng)鏈幾乎跟實(shí)際產(chǎn)品的供應(yīng)鏈?zhǔn)窍嗤摹4_保軟件供應(yīng)鏈也十分相似�。確保該掃描不止一次地發(fā)生�����,并在爆出新漏洞時(shí),及時(shí)通知使用鏡像的系統(tǒng)管理員或應(yīng)用程序開(kāi)發(fā)者��。結(jié)論在軟件生命周期的每個(gè)環(huán)節(jié)����,平臺(tái)都允許企業(yè)將安全納入其中。
在Docker內(nèi)部,我們花了很多時(shí)間討論一個(gè)話題:如何將運(yùn)行時(shí)安全和隔離作為容器架構(gòu)的一部分���?然而這只是軟件流水線的一部分。
我們需要的不是一次性的標(biāo)簽或設(shè)置,而是需要將安全放到軟件生命周期的每個(gè)階段。
由于軟件供應(yīng)鏈上的人、代碼和基礎(chǔ)設(shè)施一直在改變��,交互也越來(lái)多�����,組織(公司)必須將安全納入供應(yīng)鏈的核心部分��。
考慮一個(gè)實(shí)際存在的產(chǎn)品:如電話,僅僅考慮到最終產(chǎn)品的安全性是不夠的���。除了決定使用什么樣的防盜包裝,你可能也想知道材料的來(lái)源�,以及他們是如何組裝��,包裝,運(yùn)輸����。因?yàn)?,重要的是我們還要確保手機(jī)不被改造或運(yùn)輸途中被盜�。
軟件供應(yīng)鏈幾乎跟實(shí)際產(chǎn)品的供應(yīng)鏈?zhǔn)窍嗤?��。你必須能夠識(shí)別和信任原材料(代碼、依賴(lài)、打包)��,把它們組裝在一起后�,將它們從海上、陸上或空中(網(wǎng)絡(luò))運(yùn)輸?shù)揭粋€(gè)存儲(chǔ)地(存儲(chǔ)庫(kù)),以便將項(xiàng)目(應(yīng)用)出售(部署)給終端用戶。
確保軟件供應(yīng)鏈也十分相似��。你需要:
● 確定流水線中的所有東西��,從人�,代碼����,依賴(lài)關(guān)系,到基礎(chǔ)設(shè)施
● 確保一個(gè)一致和優(yōu)質(zhì)的構(gòu)建過(guò)程
● 在存儲(chǔ)和運(yùn)輸中保護(hù)產(chǎn)品
● 對(duì)材料清單的交付保證并驗(yàn)證最終產(chǎn)品
在這篇文章中,我們將詮釋Docker的安全特性如何為軟件供應(yīng)鏈提供持續(xù)的安全����。
身份
整個(gè)流水線構(gòu)建在身份驗(yàn)證和訪問(wèn)控制之上 �。從根本上說(shuō)����,你需要知道誰(shuí)可以訪問(wèn)什么資產(chǎn),可以使用哪些操作�。
Docker 架構(gòu)中的身份認(rèn)證理念很清晰����,它隱藏在軟件供應(yīng)鏈策略中:加密密鑰允許發(fā)布者對(duì)鏡像進(jìn)行簽名����,以保證其來(lái)源的真實(shí)性。
一致的構(gòu)建:好的輸入= 好的輸出
確定一致的構(gòu)建允許你創(chuàng)建一個(gè)可重復(fù)的過(guò)程,并控制你的應(yīng)用程序依賴(lài)和組件,以便使它更容易測(cè)試出缺陷和漏洞���。當(dāng)你對(duì)你的組件有一個(gè)清晰認(rèn)識(shí)的時(shí)候,它變得更容易識(shí)別異常的組件。
要獲得一致的構(gòu)建�����,你必須確保你添加了優(yōu)質(zhì)的組件:
● 評(píng)價(jià)依賴(lài)的質(zhì)量���,確保它是最新/兼容的版本�,并用你的軟件進(jìn)行測(cè)試
● 驗(yàn)證組件來(lái)自于你期望的來(lái)源�,并且在傳輸過(guò)程中沒(méi)有損壞或改變
● 確定依賴(lài)后不要輕易改變,確保后續(xù)重建是一致的����,因此如果一個(gè)缺陷是由代碼或依賴(lài)的變化引起的����,很容易被發(fā)現(xiàn)
● 使用Docker Content Trust �,從可信的、有標(biāo)識(shí)的基礎(chǔ)鏡像中構(gòu)建你的鏡像
使用簽名”密封”構(gòu)建結(jié)果
應(yīng)用程序簽名是從構(gòu)建進(jìn)行有效“密封”的一步���。通過(guò)鏡像簽名,可以確保任何在接收端(docker pull)的簽名驗(yàn)證與鏡像發(fā)布者建立一個(gè)安全鏈�����。
這種關(guān)系保證了鏡像在傳輸過(guò)程中不被改變��、添加�、或刪除�。此外,簽名表明發(fā)布者“贊同”你拉取的該鏡像是沒(méi)問(wèn)題的 ��。
在構(gòu)建機(jī)器和運(yùn)行環(huán)境上啟用 Docker Content Trust后��,一個(gè)策略就會(huì)生效:只有簽名鏡像才可以被拉取并運(yùn)行在那些 Docker 主機(jī)上���。
在組織中����,簽名的鏡像向其他人傳遞一個(gè)信號(hào):發(fā)布者(構(gòu)建者)聲明鏡像是沒(méi)問(wèn)題的�。
安全掃描和風(fēng)控
CI系統(tǒng)和開(kāi)發(fā)者都需要確認(rèn)一件事情:構(gòu)建工具與依賴(lài)一起工作��,操作你的應(yīng)用程序時(shí)��,無(wú)論在成功還是失敗,都有預(yù)期的行為���。
但他們審查過(guò)依賴(lài)的漏洞嗎?審查過(guò)子依賴(lài)或捆綁系統(tǒng)庫(kù)的依賴(lài)嗎?他們知道依賴(lài)的許可證嗎���?這種審查很難通過(guò)常規(guī)的方式來(lái)完成���,因?yàn)樘峁╁e(cuò)誤修正和功能上是一個(gè)巨大的開(kāi)銷(xiāo)�����。
Docker 安全掃描有助于鏡像的自動(dòng)化掃描。因?yàn)檫@是發(fā)生在鏡像被推送到registry之前���,在容器被部署進(jìn)生產(chǎn)環(huán)境之前的最后一次檢查。
該功能目前在Docker Cloud 中可用���,并且很快延伸到Docker Datacenter。安全掃描創(chuàng)建了一個(gè)清單����,清單中包括鏡像每一層的打包信息和版本信息��。
這份材料清單被用于連續(xù)監(jiān)測(cè)各種 CVE 數(shù)據(jù)庫(kù)。確保該掃描不止一次地發(fā)生�,并在爆出新漏洞時(shí)�,及時(shí)通知使用鏡像的系統(tǒng)管理員或應(yīng)用程序開(kāi)發(fā)者����。
多重簽名-- 把簽名綁在一起
安全保證最強(qiáng)大的一點(diǎn)來(lái)自Docker Content Trust 簽名,它允許多個(gè)簽名者參與容器的簽名過(guò)程����。要了解這一點(diǎn),想象一個(gè)簡(jiǎn)單的 CI 過(guò)程,通過(guò)以下步驟移動(dòng)容器鏡像:
自動(dòng)化CI
Docker 安全掃描
推送到 staging環(huán)境
推送到 production 環(huán)境
這里有四個(gè)階段��,每個(gè)階段完成后���,都可以添加一個(gè)簽名��,從而CI/CD 過(guò)程的每一個(gè)階段都有驗(yàn)證�����。
1、鏡像通過(guò)CI 嗎�����?添加簽名�!
2、Docker Security Scanning 確定鏡像沒(méi)有漏洞�?添加簽名�!
3�、staging階段中構(gòu)建成功?添加簽名�����!
4����、驗(yàn)證所有3個(gè)簽名的鏡像并將其部署到生產(chǎn)中
現(xiàn)在構(gòu)建被部署到生產(chǎn)集群之前,它可以加密驗(yàn)證,CI / CD過(guò)程各階段已經(jīng)簽訂了一個(gè)鏡像�。
結(jié)論
在軟件生命周期的每個(gè)環(huán)節(jié)�����,Docker 平臺(tái)都允許企業(yè)將安全納入其中。從與用戶建立信任,到基礎(chǔ)設(shè)施和代碼,docker模型給了開(kāi)發(fā)者以及 IT團(tuán)隊(duì)足夠的自由和控制力��。
從構(gòu)建安全的基礎(chǔ)鏡像�,到掃描每一個(gè)鏡像驗(yàn)證簽名�,每個(gè)特性都允許IT人員將信任植入到應(yīng)用中。
當(dāng)應(yīng)用沿著正常的生命周期不斷前行�����,安全信息也能夠動(dòng)態(tài)維護(hù)和更新��,并在部署到生產(chǎn)環(huán)境之前通過(guò)風(fēng)控檢查����。
本文由時(shí)速云翻譯��,如若轉(zhuǎn)載����,需注明轉(zhuǎn)載自“時(shí)速云”
原文鏈接:https://blog.docker.com/2016/...
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請(qǐng)注明本文地址:http://specialneedsforspecialkids.com/yun/26700.html
