作者:Shlomo Zalman Heigh
近期,我有幸参与并发言于在华盛顿州西雅图举办的 CNCF云原生安全大会 2024[1]。该会议汇聚了安全专家、开发者及行业领袖,共同探讨云原生安全的最新趋势与进展。主题演讲、分组会议以及交流机会为我提供了关于安全实践演变格局的宝贵见解。以下是我在会议中收集到的一些关键信息:
供应链安全行业进步
会议上,我们在供应链安全领域见证了显著进展,其中三个突出项目是 SLSA、GUAC 和 VEX。
SLSA 与 GUAC:SLSA 和 GUAC 旨在提升软件供应链的透明度与信任度。通过定义供应链安全的不同成熟度级别(SLSA)及提供图表以可视化和推断这些级别(GUAC),它们帮助组织在使用组件时做出明智决策。很明显,SLSA 和 GUAC 正在行业内迅速获得认可,它们的采用无疑将增强软件供应链各环节的安全态势可见性。 VEX(Vulnerability Exploitability eXchange,漏洞可利用性交换):VEX 应对了容器扫描中发现的大量漏洞问题,旨在通过识别哪些漏洞更可能被利用、哪些应视为误报,使团队能够优先处理并更有效地管理漏洞。目前已有几个 VEX 标准的实施案例,会议上有数场讨论围绕如何将 VEX 融入现有安全工作流程。
身份与工作负载安全趋势
行业正从长期凭证转向工作负载身份。SPIFFE(Secure Production Identity Framework For Everyone,面向所有人的安全生产身份框架)作为工作负载身份的标准日益受到重视,通过确保服务仅能访问明确授权的资源,无需易于泄露的长期凭证,从而增强了安全性。
分组会议链接[2]
轻量级系统:Operators 优于 Sidecars
传统上,边车用于增强容器功能及服务间认证。但趋势正向 operators 等更轻量级系统转变,后者不需要每个 Pod 额外资源,因此扩展效率更高。特别是在 Lin Sun 的主题演讲中展示了 Istio 的新环境模式(Ambient Mode),此功能尚处于测试阶段,更多详情可参阅Istio 博客[3]。
主题演讲链接[4]
大学开源中心与学生参与
我最喜欢的分组会议之一是由伦斯勒理工学院的两名学生 Ben Smith-Foley 和 Sam Begin 主讲。他们讲述了如 RCOS(伦斯勒开源中心)这样的大学开源中心如何为学生提供学习和获取实际经验的宝贵机会,架起了课堂学习与实用技能之间的桥梁。学生可以参与到开源项目中,记录他们的过程,并解决“适合新手的问题”。听到鼓励学生参与开源的倡议总是令我振奋,这些学生的努力给我带来启发,希望更多大学采纳此类对学界及开源社区都有益的计划。
分组会议链接[5]
VEX:自动化漏洞优先级划分
如前所述,VEX 作为一种根据容器扫描发现的漏洞进行优先级排序的方法,正逐渐受到关注。我有幸与Armo[6]的 CTO Ben Hirschberg 共同发表演讲,介绍了如何使用Kubescape[7]自动生成 VEX 文件。我们探讨了 Kubescape 如何通过分析 Kubernetes 中的容器运行时来生成 VEX 文件,以及我们开发的新GitHub Action[8]如何自动化这一流程。
分组会议链接[9]
总结
CloudNativeSecurityCon 提供了许多其他有价值的洞察和收获,我鼓励大家查看会议日程并在CNCF 的 YouTube 频道[10]上观看录制的会议视频。我对云原生安全领域的持续进步感到兴奋,并期待参加未来的活动,以了解行业的最新趋势与进展。
关于作者
Shlomo Heigh 是 CyberArk 的高级软件工程师,负责维护开源密钥管理工具Conjur[11]。他是 CNCF TAG 安全及 OWASP 分会领导者。你可以在LinkedIn[12]和GitHub[13]上找到他。
云原生安全大会 2024: https://events.linuxfoundation.org/cloudnativesecuritycon-north-america/
[2]分组会议链接: https://sched.co/1dCWN
[3]Istio 博客: https://istio.io/latest/blog/2024/ambient-reaches-beta/
[4]主题演讲链接: https://sched.co/1dCVF
[5]分组会议链接: https://sched.co/1dCUW
[6]Armo: https://www.armosec.io/
[7]Kubescape: https://kubescape.io/
[8]GitHub Action: https://github.com/kubescape/generate-vex-action
[9]分组会议链接: https://sched.co/1dCWE
[10]CNCF 的 YouTube 频道: https://www.youtube.com/@cncf
[11]Conjur: https://www.conjur.org/
[12]LinkedIn: https://www.linkedin.com/in/szheigh
[13]GitHub: https://github.com/szh
点击【阅读原文】阅读网站原文。
文章转载自CNCF。点击这里阅读原文了解更多。
联系Linux Foundation APAC
Linux基金会是非营利性组织,是技术生态系统的重要组成部分。
Linux基金会通过提供财务和智力资源、基础设施、服务、活动以及培训来支持创建永续开源生态系统。在共享技术的创建中,Linux基金会及其项目通过共同努力形成了非凡成功的投资。请关注LFAPAC(Linux Foundation APAC)微信公众号。
