Llegamos a ustedes gracias a:



Noticias

Chainguard lanza el software nativo de cumplimiento de Kubernetes

[03/05/2022] El proveedor de seguridad de la cadena de suministro de software Chainguard está lanzando su primer producto, Chainguard Enforce, una aplicación nativa de Kubernetes para asegurar el despliegue de imágenes de contenedores.

Enforce está diseñada para permitir a los desarrolladores definir, observar, distribuir y promulgar políticas que garanticen que solo se despliegan y ejecutan imágenes de contenedores de confianza en sus clústeres.

"Chainguard Enforce se basa en firmas criptográficas, lo que le permite autenticar el contenido de una imagen en lugar de desde dónde se ha servido", señaló Kim Lewandowski, cofundador de Chainguard. "Este sistema puede utilizarse para proteger contra los riesgos internos y para restringir los despliegues de producción a un conjunto de sistemas de construcción altamente seguros".

Una imagen de contenedor se refiere a un archivo estático con código ejecutable que puede crear un contenedor en un sistema informático. Un contenedor contiene varios paquetes de una aplicación de software y todos los recursos que la componen, que pueden ejecutarse en cualquier entorno. Kubernetes, por su parte, es una orquestación de código abierto que automatiza el despliegue, el escalado y la gestión de aplicaciones en contenedores. 

Las firmas digitales aseguran la cadena de suministro de software

Enforce se basa en el proyecto Sigstore de código abierto que asegura las cadenas de suministro de software mediante la creación de firmas digitales para los distintos componentes de una aplicación.

"La seguridad de los contenedores presenta una serie de retos, desde las imágenes sobrecargadas hasta la proliferación de contenedores, pasando por las lagunas de concienciación y de control", afirmó Sandy Carielli, analista de Forrester. "La solución Chainguard se centra en las lagunas de control. Los clientes seguirán necesitando una serie de otras herramientas y procesos para abordar los requisitos de seguridad de los contenedores".

Según Carielli, la eliminación de cualquier componente innecesario o no utilizado que pueda aumentar la superficie de ataque aumenta la fiabilidad de las imágenes de contenedores. 

Enforce admite la integración de sistemas de construcción y el cumplimiento de normas

Enforce contará con cuatro componentes principales con una interfaz de línea de comandos (CLI) "amigable para los desarrolladores". Los componentes son un agente de políticas, la integración del sistema de construcción, la verificación continua y el lago de pruebas. 

Agente de políticas: Un soporte de sólo lectura para las políticas y configuraciones por clúster que pueden gestionarse y administrarse de forma centralizada en entornos multiclúster. Las definiciones de políticas incluidas se basan en los niveles de la cadena de suministro de código abierto para artefactos de software (SLSA) y en los estándares del marco de desarrollo de software seguro (SSDF).

Integración de sistemas de compilación: Incluye la integración de múltiples plataformas de CI como GitHub Actions, CircleCI, BuildKite y GitLab para permitir la agilización del desarrollo y el seguimiento de los entornos originales del código fuente. Las integraciones son rápidas de instalar y configurar para los equipos de DevOps. 

Verificación continua: Tiene un soporte consistente para alertar sobre las desviaciones de las políticas definidas y el cumplimiento en las imágenes de los contenedores.

Evidence Lake: Se refiere al inventario de activos en tiempo real que proporciona visibilidad de la postura de seguridad en toda la organización, incluidas las herramientas para desarrolladores, la recuperación de incidentes, la depuración y la automatización de auditorías. 

"Un caso de uso clave para Chainguard Enforce es ayudar a las organizaciones a controlar mejor sus sistemas de construcción, ya que son vectores de ataque comunes", anotó Lewandowski. "Estamos empezando con un conjunto muy prescriptivo de políticas diseñadas para la gestión de claves y los niveles de SLA, sin un lenguaje completo. También estamos estudiando el uso de Cue para las definiciones de restricciones y esquemas".

Configure Unify Execute (Cue) es un lenguaje de código abierto con un conjunto de API y herramientas para la codificación, el scripting y la consulta.