摘要:軟件供應(yīng)鏈幾乎跟實際產(chǎn)品的供應(yīng)鏈?zhǔn)窍嗤?���。確保軟件供應(yīng)鏈也十分相似。確保該掃描不止一次地發(fā)生���,并在爆出新漏洞時,及時通知使用鏡像的系統(tǒng)管理員或應(yīng)用程序開發(fā)者�。結(jié)論在軟件生命周期的每個環(huán)節(jié),平臺都允許企業(yè)將安全納入其中�����。
在Docker內(nèi)部�����,我們花了很多時間討論一個話題:如何將運行時安全和隔離作為容器架構(gòu)的一部分�����?然而這只是軟件流水線的一部分��。
我們需要的不是一次性的標(biāo)簽或設(shè)置�,而是需要將安全放到軟件生命周期的每個階段����。
由于軟件供應(yīng)鏈上的人���、代碼和基礎(chǔ)設(shè)施一直在改變����,交互也越來多�����,組織(公司)必須將安全納入供應(yīng)鏈的核心部分�����。
考慮一個實際存在的產(chǎn)品:如電話�����,僅僅考慮到最終產(chǎn)品的安全性是不夠的����。除了決定使用什么樣的防盜包裝,你可能也想知道材料的來源,以及他們是如何組裝���,包裝�,運輸��。因為����,重要的是我們還要確保手機(jī)不被改造或運輸途中被盜。
軟件供應(yīng)鏈幾乎跟實際產(chǎn)品的供應(yīng)鏈?zhǔn)窍嗤?��。你必須能夠識別和信任原材料(代碼、依賴����、打包),把它們組裝在一起后��,將它們從海上���、陸上或空中(網(wǎng)絡(luò))運輸?shù)揭粋€存儲地(存儲庫)����,以便將項目(應(yīng)用)出售(部署)給終端用戶。
確保軟件供應(yīng)鏈也十分相似�。你需要:
● 確定流水線中的所有東西,從人��,代碼��,依賴關(guān)系�����,到基礎(chǔ)設(shè)施
● 確保一個一致和優(yōu)質(zhì)的構(gòu)建過程
● 在存儲和運輸中保護(hù)產(chǎn)品
● 對材料清單的交付保證并驗證最終產(chǎn)品
在這篇文章中�,我們將詮釋Docker的安全特性如何為軟件供應(yīng)鏈提供持續(xù)的安全。
身份
整個流水線構(gòu)建在身份驗證和訪問控制之上 ���。從根本上說��,你需要知道誰可以訪問什么資產(chǎn)��,可以使用哪些操作���。
Docker 架構(gòu)中的身份認(rèn)證理念很清晰,它隱藏在軟件供應(yīng)鏈策略中:加密密鑰允許發(fā)布者對鏡像進(jìn)行簽名�����,以保證其來源的真實性。
一致的構(gòu)建:好的輸入= 好的輸出
確定一致的構(gòu)建允許你創(chuàng)建一個可重復(fù)的過程���,并控制你的應(yīng)用程序依賴和組件����,以便使它更容易測試出缺陷和漏洞����。當(dāng)你對你的組件有一個清晰認(rèn)識的時候,它變得更容易識別異常的組件���。
要獲得一致的構(gòu)建����,你必須確保你添加了優(yōu)質(zhì)的組件:
● 評價依賴的質(zhì)量�����,確保它是最新/兼容的版本���,并用你的軟件進(jìn)行測試
● 驗證組件來自于你期望的來源,并且在傳輸過程中沒有損壞或改變
● 確定依賴后不要輕易改變�����,確保后續(xù)重建是一致的,因此如果一個缺陷是由代碼或依賴的變化引起的�,很容易被發(fā)現(xiàn)
● 使用Docker Content Trust ,從可信的�����、有標(biāo)識的基礎(chǔ)鏡像中構(gòu)建你的鏡像
使用簽名”密封”構(gòu)建結(jié)果
應(yīng)用程序簽名是從構(gòu)建進(jìn)行有效“密封”的一步��。通過鏡像簽名�,可以確保任何在接收端(docker pull)的簽名驗證與鏡像發(fā)布者建立一個安全鏈。
這種關(guān)系保證了鏡像在傳輸過程中不被改變��、添加����、或刪除。此外�,簽名表明發(fā)布者“贊同”你拉取的該鏡像是沒問題的 。
在構(gòu)建機(jī)器和運行環(huán)境上啟用 Docker Content Trust后�,一個策略就會生效:只有簽名鏡像才可以被拉取并運行在那些 Docker 主機(jī)上。
在組織中����,簽名的鏡像向其他人傳遞一個信號:發(fā)布者(構(gòu)建者)聲明鏡像是沒問題的�。
安全掃描和風(fēng)控
CI系統(tǒng)和開發(fā)者都需要確認(rèn)一件事情:構(gòu)建工具與依賴一起工作��,操作你的應(yīng)用程序時���,無論在成功還是失敗��,都有預(yù)期的行為��。
但他們審查過依賴的漏洞嗎��?審查過子依賴或捆綁系統(tǒng)庫的依賴嗎�����?他們知道依賴的許可證嗎����?這種審查很難通過常規(guī)的方式來完成����,因為提供錯誤修正和功能上是一個巨大的開銷�。
Docker 安全掃描有助于鏡像的自動化掃描。因為這是發(fā)生在鏡像被推送到registry之前���,在容器被部署進(jìn)生產(chǎn)環(huán)境之前的最后一次檢查����。
該功能目前在Docker Cloud 中可用,并且很快延伸到Docker Datacenter�。安全掃描創(chuàng)建了一個清單,清單中包括鏡像每一層的打包信息和版本信息��。
這份材料清單被用于連續(xù)監(jiān)測各種 CVE 數(shù)據(jù)庫����。確保該掃描不止一次地發(fā)生,并在爆出新漏洞時����,及時通知使用鏡像的系統(tǒng)管理員或應(yīng)用程序開發(fā)者。
多重簽名-- 把簽名綁在一起
安全保證最強(qiáng)大的一點來自Docker Content Trust 簽名��,它允許多個簽名者參與容器的簽名過程�。要了解這一點,想象一個簡單的 CI 過程��,通過以下步驟移動容器鏡像:
自動化CI
Docker 安全掃描
推送到 staging環(huán)境
推送到 production 環(huán)境
這里有四個階段�����,每個階段完成后,都可以添加一個簽名���,從而CI/CD 過程的每一個階段都有驗證����。
1�����、鏡像通過CI 嗎���?添加簽名���!
2、Docker Security Scanning 確定鏡像沒有漏洞��?添加簽名�����!
3���、staging階段中構(gòu)建成功��?添加簽名����!
4���、驗證所有3個簽名的鏡像并將其部署到生產(chǎn)中
現(xiàn)在構(gòu)建被部署到生產(chǎn)集群之前��,它可以加密驗證����,CI / CD過程各階段已經(jīng)簽訂了一個鏡像�����。
結(jié)論
在軟件生命周期的每個環(huán)節(jié)�,Docker 平臺都允許企業(yè)將安全納入其中。從與用戶建立信任�,到基礎(chǔ)設(shè)施和代碼,docker模型給了開發(fā)者以及 IT團(tuán)隊足夠的自由和控制力����。
從構(gòu)建安全的基礎(chǔ)鏡像,到掃描每一個鏡像驗證簽名,每個特性都允許IT人員將信任植入到應(yīng)用中�。
當(dāng)應(yīng)用沿著正常的生命周期不斷前行,安全信息也能夠動態(tài)維護(hù)和更新����,并在部署到生產(chǎn)環(huán)境之前通過風(fēng)控檢查。
本文由時速云翻譯��,如若轉(zhuǎn)載���,需注明轉(zhuǎn)載自“時速云”
原文鏈接:https://blog.docker.com/2016/...
文章版權(quán)歸作者所有��,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/26700.html
