博客家

Helm Chart安全缓解:在ChartCenter中与cve对话

通过查达Ankush

6分钟阅读

如何选择安全舵图

更新:截至2021年5月1日- ChartCenter中央存储库已被淘汰,所有功能已弃用。有关中心日落的更多信息,请阅读中心弃用博客文章

如果你的执掌图表会说话,他们会对潜在用户说什么?他们会吹嘘自己的权力吗他们部署Kubernetes应用?他们会警告他们的危险吗?他们会提供建议吗?

在JFrog的新图表中心,一个公开可用的Helm图表的社区存储库那正是他们会做的。ChartCenter向用户显示已知的风险存在于每个赫尔姆图部署的容器图像中。

JFrog ChartCenter还可以帮助您向Helm图表的用户建议这些风险的重要性,或者如何最好地减轻风险。这是ChartCenter的一个伟大的创新,我们认为所有Helm图表作者都应该使用它——你可以帮助我们帮助你。

Kubernetes应用程序中的漏洞

你的K8s应用只看起来是一个东西,就像一个俄罗斯或俄罗斯传统的套娃。Helm图是容器映像的部署配置的最外层,看起来是一个坚固的实体。但这K8s Docker映像Within可以包含许多层和依赖项。每一种都有其自身的危险,从外部是看不见的。

舵图和kubernetes集群的安全性

然而,这些危险中的许多是已知的,在公共的常见漏洞和暴露(CVE)列表中被识别美国国家漏洞数据库(NVD).由美国国家标准与技术研究所(NIST)自2005年以来,免费的NVD被许多网络安全产品和服务使用。hth华体会最新官方网站

这些风险也没有下降。随着开源组件变得越来越可用,在NVD上注册的cve的数量和严重程度急剧增长:

CVSS严重性随时间的分布-来源:nvd.nist.gov
来源:国家标准和技术研究所

你怎么知道哪些在你的Kubernetes应用中?这就是JFrog ChartCenter可以提供帮助的地方。

ChartCenter显示cve

JFrog ChartCenter为社区提供了一个丰富的用户界面,可以在数千个图表中进行搜索Kubernetes-ready跨许多公共存储库的包。但ChartCenter不仅仅是一个目录。由Artifactory提供动力,它是一个赫尔姆海图库保存不可变版本。所以用户的Helm CLI可以从一个免费的真相来源单一

JFrog头盔图表库为社区

ChartCenter还对Helm图表的依赖容器映像的整个集合执行漏洞分析deep-recursive扫描JFrog x射线。与这些图像相关的cve显示在ChartCenter的富UI中,因此用户可以在部署任何K8s应用程序之前轻松了解和评估其安全风险。

舵手在图表中心显示安全信息

默认情况下,ChartCenter显示中等、低和未知严重程度的漏洞细节,但我们选择让维护者控制他们希望向社区提供的高严重程度漏洞的细节级别。

安全缓解说明

虽然让用户知道K8s应用程序中存在漏洞是件好事,但这可能不是全部。

例如,一个依赖项中的安全风险可能会因另一个组件的存在而减轻。或者可能这个易受攻击的特性没有被使用,所以它不是一个威胁。这个问题可能只会发生在与你的应用无关的一小部分情况下。或者这种危险可以通过推荐的配置来消除。

我们相信,你们Helm图表的完全透明意味着你们也应该有自己的发言权。这就是为什么JFrog的社区工程团队提出了一个新的规范舵图安全缓解说明,并邀请您提供。

为了鼓励您的参与,在图表维护者将包含至少一个高严重性CVE的缓解说明提交给图表中心之前,图表中心将不会显示图表的高严重性漏洞。

这使得Helm图表的作者可以在图表上标注由依赖关系标记的cve,让用户知道是否以及何时需要关注,或者是否可以降低风险。它可以帮助你回应CVE,“是的,但是……”,并与图表的用户进行某种类型的对话。

如何注释你的舵图

为了提供安全缓解说明,赫尔姆图可以包括security-mitigation.yaml可以包含以下任何或所有信息的文件:

  • 图表使用者的总体(摘要)缓解信息
  • 针对每个CVE、每个受影响包和版本的缓解信息
  • 外部托管在wiki或网页上的缓解网站的URL
  • 外部托管的缓解文件的URL

例如security-mitigation.yaml文件为Helm图提供概要和单独的CVE缓解信息rimusz / security-sample-chart

schemaverse: v1 summary:此应用程序的安全缓解信息由安全缓解跟踪。yaml文件,这是Helm图表的一部分。—cves:—CVE-2019-1010022 affectedPackageUri: helm://rimusz/security-sample-chart affectedVersions: <= 0.1.5 description:此CVE-2019-10100的安全缓解信息适用于图表的指定受影响版本。—cves:—CVE-2019-11888 affectedPackageUri: docker://docker。io/rimusz/security-sample-app affectedVersions: <= 0.1.1 description:此CVE适用于运行在Windows上的应用。此应用程序目前不支持Windows操作系统,因此此CVE不影响我们的用户。

当您向ChartCenter提供至少引用了一个高严重性CVE的缓解说明文件时,该文件将包含在ChartCenter中,并且图表使用者可以使用高严重性CVE信息。

一旦被ChartCenter处理,所引用的cve将表明缓解说明可用:

在图表中心添加缓解注释

点击图标显示注释:

舵图维护记录

保持对话

这个缓解注释系统是一个建议标准,仍有待修订,社区的反馈。有关进一步的技术细节,请参阅我们的GitHub上的规范

在此期间,我们邀请您尝试一下,制作security-mitigation.yaml你维护的公共舵图的文件!欢迎您的反馈chartcenter@www.si-fil.com

受欢迎的标签

试试JFrog平台

在云端或自托管

免费开始

预约演示