標準做法是掃瞄應用程式和**以查詢漏洞。 但為什麼要止步於此呢?Aqua 希望為 Kubernetes 帶來相同級別的安全性。
Trivy 將 KBOM 漏洞掃瞄新增到 K8s 中,作者:Itay Shakury 是 Aqua Security 的開源副總裁,負責領導開源雲原生安全解決方案的工程設計。 Itay 在各種軟體開發、架構和產品管理職位上擁有近 20 年的專業經驗。 itay...Kubernetes 通常被稱為“雲作業系統”,是現代雲原生環境中複雜而關鍵的基礎設施。 鑑於其複雜的成分,確保其安全性至關重要。 為了使組織能夠更好地了解 Kubernetes 環境中的元件並大大降低風險,Aqua Security 的開源安全掃瞄程式 Trivy 推出了 Kubernetes 物料清單 (KBOM)。 傳統上,Kubernetes 安全工具專注於錯誤配置和強化。 Kubernetes 安全標準已經制定,例如 Kubernetes 的 Pod 安全策略、CIS 的 Kubernetes 基準測試、NSA CISA 的 Kubernetes 強化指南等。 Aqua Security 還發布了流行的開源集群評估工具“Kube-Bench”。 但是,在評估 Kubernetes 集群本身的漏洞方面仍然存在重大差距。 鑑於 Kubernetes 在雲基礎設施中的核心作用,這一點尤為重要。 由於忽略了對 Kubernetes 集群的漏洞掃瞄,因此對應用程式和工件的掃瞄正在蓬勃發展。 這種做法隨著時間的推移而發展,並在幾年前隨著軟體清單 (SBOM) 的普及而達到頂峰。 作為漏洞掃瞄的資深人士,Aqua Security 在我們的產品中利用了 SBOM 的原則,但 SBOM 為行業帶來標準化和互操作性的努力確實與漏洞評估實踐的結果相匹配。 如今,掃瞄應用程式和應用程式中的漏洞是一種標準做法。 但為什麼要止步於此呢?我們希望在應用程式領域為 Kubernetes 帶來與 SBOM 相同的接受度和採用率。 通過使用 KBOM 分析 Kubernetes 集群,Trivy 可以生成其中使用的所有元件的綜合清單。 這類似於 SBOM 的重點,後者側重於工作負載,而 KBOM 則探索 Kubernetes 集群本身的組成。 你在哪個節點上執行哪個 kubelet?您使用的是什麼容器網路介面 (CNI)?這些是KBOM旨在回答的問題。
Kubernetes 是乙個複雜的系統,包含許多移動部件,有時它們是單獨安裝和配置的。 Kubernetes 發行版將選定的核心 Kubernetes 元件與其他必要元件打包在一起,以建立可用的 Kubernetes 集群。 準確對映 Kubernetes 集群的組成不僅有助於使用者、開發人員或集群管理員維護系統,還為準確的漏洞評估鋪平了道路。 Trivy 基於 KBOM 構建,現在可以對 Kubernetes 集群及其核心元件提供完整的漏洞評估。 這利用了由 Aqua Security 策劃的官方 Kubernetes 漏洞公告提要,使其與 KBOM 相容。 這標誌著在提供全面的 Kubernetes 安全性方面向前邁出了重要一步。 
圖 1:Trivy 在 Kubernetes 元件 api-server 中發現乙個漏洞。
如果我們將 Kubernetes 視為“雲作業系統”,那麼我們在安全性和漏洞方面與其他作業系統保持相同的標準。 Trivy 已經是現有作業系統的重要漏洞掃瞄器,隨著最近新增的 KBOM 和 Kubernetes 漏洞掃瞄,它正在完成另乙個重要的里程碑。
加入 Trivy 社群並在 GitHub 上點贊。