广告

Kubernetes采用Sigstore实现供应链安全

  • 浏览(95)
  • 评论(0)
  • 译者:k8s

随着Kubernetes 1.24的发布,超过500万的Kubernetes开发者首次可以验证他们所使用的发行版是否与声称的一样。这是因为在这个版本中,Kubernetes采用了Sigstore对工件进行签名和验证签名。这是Kubernetes安全的重大进展。

众所周知,容器供应链安全已成为一个关键问题。很多时候,软件组件都会中毒,而建立在它们之上的每一个程序都会随之消亡。Sigstore是去年推出的一项免费软件签名服务。它通过简化对发布文件、容器镜像和二进制文件的加密签名,提高了软件供应链的安全性。一旦签名,签名记录将保存在防篡改的公共日志中。Sigstore将免费供所有开发者和软件供应商使用。这为软件工件提供了一个更安全的保管链,可以对其进行保护并追溯到其来源。

一大步

开发安全公司Chainguard的开源负责人Tracy Miranda解释说,这是一件大事,原因之一是它“在保护Kubernetes生态系统的完整性方面迈出了一大步,并证明了由于供应链攻击的增加,大规模的代码签名是可能的,而且坦率地说是必要的。”

易用性在这里很重要。我们早就知道,对编程元素进行加密签名和验证是很好的安全性,但大多数早期的加密签名工具要么过于繁琐,要么过于混乱,难以使用。如果没有易于使用的工具对代码进行数字签名,很少有开发人员会为此烦恼。这就是Sigstore的用武之地。

正如谷歌员工软件工程师兼Sigstore项目创始人Bob Callaway所说,“我们构建的Sigstore简单、免费、无缝,因此将被大量采用,并保护我们所有人免受供应链攻击。Kubernetes选择使用Sigstore就是这项工作的证明。”

SLSA合规性

Kubernetes发布团队看到了这一努力的重要性。2021年初,团队开始探索软件工件(SLSA,发音为salsa)的供应链级别,以提高Kubernetes软件供应链的安全性。SLSA是一个安全框架,包括一个标准和控制清单,以防止篡改,提高完整性,并保护项目的包和基础设施。Sigstore是实现SLSA 2级状态并率先实现SLSA 3级合规性的关键项目,Kubernetes社区预计将在今年8月达到这一目标。

Sigstore好处

Sigstore还为Kubernetes社区提供了多种好处,包括:

——Sigstore的无密钥签名为开发者提供了良好的体验,消除了痛苦的密钥管理需求。

——Sigstore的公共透明日志(public transparency log,Rekor)和API意味着Kubernetes的使用者可以轻松地验证签名的工件。

——Sigstore使用标准,例如支持任何开放容器计划(OCI)工件(包括容器、Helm Charts、配置文件和策略包)和OpenID Connect(OIDC),这意味着它可以与其他工具和服务无缝集成。

——活跃、开源、供应商中立的Sigstore社区使人们相信,该项目将迅速被采用,并成为事实上的行业标准。

VMware开源技术中心和Kubernetes指导委员会负责人Tim Pepper表示:“安全是一个永无止境的过程,为减少攻击者破坏供应链完整性的能力而采取的每一步都很重要。Kubernetes在新版本中采用Sigstore是向前迈出的一大步。”

原文链接:

https://thenewstack.io/kubernetes-adopts-sigstore-for-supply-chain-security/


  • 分享到:
  • icon
  • icon
  • icon
  • icon
箭头