博客家

Helm Chart安全缓解:在ChartCenter中与cve对话

通过查达Ankush

6分钟阅读

如何选择安全的舵图

更新:截至2021年5月1日- ChartCenter中央存储库已经日落,所有功能已弃用。有关中心日落的更多信息,请阅读中心弃用博客文章

如果你的执掌图表他们会对潜在用户说些什么?他们会吹嘘他们的力量吗他们部署的Kubernetes应用?他们会警告危险吗?他们会提供建议吗?

在JFrog的新图表中心,a公开可用的Helm图表的社区存储库他们就会这么做。ChartCenter向用户展示每个Helm图表部署的容器图像中存在哪些已知风险。

JFrog chart center还可以帮助您向Helm图表的用户建议这些风险的重要性或如何最好地减轻这些风险。这是ChartCenter的一个伟大创新,我们认为所有Helm图表作者都应该使用它——你可以帮助我们帮助你。

Kubernetes应用中的漏洞

你的K8s应用看起来只有一个东西,比如俄罗斯也就是俄罗斯传统的套娃。Helm图是内部容器映像的部署配置的最外层,看起来像一个实体。但这K8s Docker映像Within可以包含许多层和依赖项。每一种都可能有自己的危险,从外面看不出来。

helm charts和kubernetes集群中的安全性

然而,这些危险中的许多都是可知的,在公共公共漏洞和暴露(CVE)列表中确定美国国家漏洞数据库(NVD)。由国家标准与技术研究所(NIST)自2005年以来,许多网络安全产品和服务都使用了免费的NVD。hth华体会最新官方网站

这些风险也没有减少。随着开源组件变得越来越多,在NVD上注册的cve数量和严重程度急剧增长:

CVSS严重性分布随着时间-来源:nvd.nist.gov
来源:国家标准与技术研究所

你怎么知道哪些是在你的Kubernetes应用程序?这就是JFrog ChartCenter可以提供帮助的地方。

ChartCenter显示cve

JFrog ChartCenter为社区提供了丰富的用户界面,可以在数千个图表中进行搜索Kubernetes-ready跨多个公共存储库的包。但ChartCenter不仅仅是一个目录。由Artifactory提供动力,这是一个舵图库保存不可变版本。因此,用户的Helm CLI可以从免费应用程序中提取他们使用的所有公共Helm图表真理的单一来源

JFrog社区的掌舵图表存储库

ChartCenter还对整个Helm图表的依赖容器映像集执行漏洞分析deep-recursive扫描JFrog x光。与这些图像相关的cve显示在ChartCenter的富UI中,因此用户可以在部署任何K8s应用程序之前轻松了解和评估其安全风险。

舵手海图安全信息在海图中心

默认情况下,ChartCenter会显示中等、低和未知严重性漏洞的详细信息,但我们选择让维护人员控制他们希望向社区提供的高严重性漏洞的详细级别。

安全缓解说明

虽然让用户知道K8s应用程序中存在漏洞是件好事,但这可能不是全部。

例如,一个依赖项中的安全风险可能会因为另一个组件的存在而得到缓解。或者可能这个易受攻击的特性没有被使用,所以不是威胁。这个问题可能只发生在与你的应用无关的一小部分情况下。或者这个危险可以通过推荐的配置来消除。

我们相信,你的掌舵图完全透明意味着你也应该有发言权。这就是为什么JFrog的社区工程团队提出了一个新的规范舵图安全缓解说明,并邀请您提供。

为了鼓励您的参与,在图表维护者向图表中心提交了至少包含一个高严重性CVE的缓解说明之前,图表中心不会显示图表的高严重性漏洞。

这使得Helm图表作者能够在他们的图表上标注由他们的依赖标记的cve,让用户知道是否以及何时需要关注,或者他们是否可以降低风险。它可以帮助您在回应CVE时说,“是的,但是……”,并与图表的用户进行对话。

如何注释你的舵图

要提供安全缓解说明,Helm图可以包括security-mitigation.yaml可以包含以下任何或全部信息的文件:

  • 图表使用者的总体(摘要)缓解信息
  • 每个CVE、每个受影响包和版本的缓解信息
  • 外部托管在wiki或网页上的缓解网站的URL
  • 外部托管缓解文件的URL

例如security-mitigation.yaml文件提供了Helm图的摘要和单个CVE缓解信息rimusz / security-sample-chart

schemaVersion: v1 summary:此应用程序的安全缓解信息由安全缓解跟踪。yaml文件是这个Helm图表的一部分。- cves: - CVE-2019-1010022 affectedPackageUri: helm://rimusz/security-sample-chart affectedVersions: <= 0.1.5描述:此CVE-2019-10100的安全缓解信息适用于图表的指定受影响版本。- cves: - CVE-2019-11888受影响的packageuri: docker://docker。io/rimusz/security-sample-app affectedVersions: <= 0.1.1 description:该CVE适用于Windows操作系统的应用。此应用程序目前不支持Windows操作系统,因此此CVE不会影响我们的用户。

当您向ChartCenter提供包含至少一个高严重性CVE引用的缓解说明文件时,该文件将包含在ChartCenter中,并且将向图表使用者提供高严重性CVE信息。

一旦被ChartCenter处理,引用的cve将指示可用的缓解说明:

在图表中心添加缓解说明

点击图标显示笔记:

舵图维护人员注意事项

保持对话

此缓解说明系统是一项拟议的标准,仍有待修订和社区反馈。有关更多技术细节,请参阅我们的GitHub规范

同时,我们邀请你给它一个尝试,生产security-mitigation.yaml您维护的公共舵图的文件!我们欢迎您的反馈chartcenter@www.si-fil.com

受欢迎的标签

试试JFrog平台

在云中或自托管

开始试验

预订演示