منبع باز Trivy به فرآیند ساخت نرم افزار متصل می شود و تصاویر کانتینر و فایل های زیرساخت به عنوان کد را برای آسیب پذیری ها و پیکربندی های نادرست اسکن می کند.
حملات به زیرساختهای ابری در حال افزایش است. تحقیقات در یک دوره شش ماهه در سال ۲۰۲۱ نشان میدهد که ۲۶٪ افزایش حملات در محیط های کانتینری در شش ماه گذشته عوامل مخرب فرآیند ساخت خودکار، بستهبندی بارها، استفاده از روتکیتها و به خطر انداختن APIهای پیکربندی نادرست را هدف قرار میدهند – اغلب در کمتر از یک ساعت پس از راهاندازی.
اسکن خودکار آسیبپذیری در فرآیندهای توسعه میتواند احتمال حملات موفقیتآمیز را کاهش دهد و به محافظت از بار کاری کانتینری کمک کند. یکی از ابزارهای پیشرو که این امکان را فراهم می کند Aqua Security’s Trivy است، یک ابزار باز با کاربری آسان اسکنر آسیبپذیری منبع که به تیمها کمک میکند تا به سمت چپ حرکت کنند تا امنیت را در خط لوله ساختن ادغام کنند.
از زمان آغاز به کار خود در چند سال پیش، Trivy محبوبیت گسترده و پشتیبانی گسترده ای را برای رویکرد ساده و ردیابی آسیب پذیری جامع خود در بسته های سیستم عامل و وابستگی های خاص زبان به دست آورده است. جامعه کاربر نهایی Cloud Native Computing Foundation، Trivy را به عنوان یک ابزار توسعه دهنده برتر برای رادار فناوری کاربر نهایی CNCF 2021 انتخاب کرد. . Trivy توسط بسیاری از پلتفرمها و ارائهدهندگان نرمافزار پیشرو بومی ابری، از جمله Litmus، Kyverno، Istio و ExternalDNS به کار گرفته شده است. این اسکنر پیش فرض برای Harbor، GitLab و Artifact Hub است. و اسکن CI/CD Microsoft Azure Defender است. طراحی شده توسط Trivy.
Trivy از زمان ایجاد خود تا حد زیادی تکامل یافته است، و تمرکز ما بر سادگی و اثربخشی آن را به ابزاری حیاتی در جعبه ابزار هر برنامهنویس تبدیل میکند. در این مقاله، میخواهم نحوه ادغام امنیت Trivy در فرآیند ساخت را به شما معرفی کنم، برخی از پیشرفتهای اخیر را به اشتراک بگذارم، و توضیح دهم که چگونه Trivy در اکوسیستم منبع باز گستردهتر Aqua Security برای ایمنسازی چرخه زندگی کامل برنامههای کاربردی ابری قرار میگیرد. .
چگونه Trivy کار می کند
سفر امنیت بومی ابری با مشاهده آسیبپذیریهای موجود در کد آغاز میشود. شناسایی و کاهش مسائل در مرحله توسعه سطح حمله را کاهش می دهد و خطر را از بین می برد. برای برنامههای کاربردی ابری، این شامل اسکن تصاویر و عملکردها در حین ساخت، برای تشخیص زودهنگام مشکلات و امکان اصلاح سریع، و همچنین اسکن مداوم رجیستریها برای در نظر گرفتن آسیبپذیریهای تازه کشفشده است.
Trivy به تیمهای توسعهدهنده امکان میدهد تا با همان سرعتی که توسعه نیاز دارد، راهاندازی و شروع به اسکن کنند. استقرار و ادغام در CI/CD Pipeline به سادگی دانلود و نصب باینری است. Trivy را می توان با ابزارهای CI، مانند Travis CI، CircleCI و GitLab CI ادغام کرد. اگر آسیبپذیری پیدا شود، میتوان Trivy را طوری تنظیم کرد که اجرای کار با شکست مواجه شود. Trivy همچنین بهعنوان GitHub Action در دسترس است که ادغام آسان با اسکن کد GitHub را امکانپذیر میسازد. . توسعهدهندگان میتوانند اسکن تصویر کانتینر را در گردش کار GitHub Actions خود بسازند تا آسیبپذیریها را قبل از رسیدن به تولید پیدا کرده و از بین ببرند.
برخلاف سایر اسکنرهای منبع باز، Trivy دید جامعی را در بین بسته های سیستم عامل و بسته های زبان برنامه نویسی فراهم می کند. دادههای آسیبپذیری را سریعتر از ابزارهای جایگزین دریافت میکند، بنابراین اسکن چند ثانیه طول میکشد و CVEهای مهم را میتوان مستقیماً در خط فرمان فیلتر کرد.
Trivy یک پایگاه داده جمع و جور دارد، با قابلیت های به روز رسانی خودکار که نیازی به میان افزار خارجی یا وابستگی به پایگاه داده ندارد. Trivy با دانلود آخرین نسخه از پیش ساخته شده از GitHub به طور خودکار پایگاه داده را به روز نگه می دارد. این ابزار را قادر می سازد تا بسیار سریع و کارآمد باشد. این ابزار نتایجی را برای آسیبپذیریهای ثابت و رفعنشده و نتایج مثبت کاذب کم برای سیستمعاملهایی مانند Alpine Linux.
پیشرفت های اخیر Trivy
Trivy با تاکید زیادی بر قابلیت استفاده، عملکرد و کارایی توسعه داده شد و پیشرفتهای انجام شده در چند سال گذشته از این اصول اساسی پشتیبانی کرده است. ما قابلیتهایی اضافه کردهایم که به تیمها و فرآیندهای آنها کمک میکند، در حالی که اطمینان میدهیم که ابزار بسیار مؤثر و قابل استفاده است.
علاوه بر اسکن تصویر کانتینر، Trivy اکنون از اسکن برای سیستم های فایل و مخازن Git پشتیبانی می کند. این قابلیتها به تقویت بهترین شیوههای امنیتی کانتینر، مانند حفظ مجموعهای از تصاویر پایه که به خوبی نگهداری و ایمن هستند، کمک میکند. به عنوان مثال، Aqua Security اخیراً نمونهای از تصاویر رسمی Docker را با استفاده از Docker Hub API کشیده و سپس اسکن آنها را انجام داده است. تصاویر مربوط به آسیب پذیری ها. ما متوجه شدیم که بسیاری از تصاویر از سیستمعاملهای پشتیبانینشده، از جمله نسخههای قدیمیتر Debian یا Alpine استفاده میکنند و در برخی موارد، تصاویر رسمی دیگر پشتیبانی نمیشوند.
ما همچنین تصاویری با تعداد زیادی آسیبپذیری اصلاحنشده اما بدون اطلاعات رسمی انحلال پیدا کردیم. این شامل Nuxeo (186)، Backdrop (173)، Kaazing Gateway (95) و CentOS (86) است. آخرین مورد از اینها، CentOS، بیش از هفت میلیون بار بین ۲۹ ژوئیه و ۱۰ آگوست ۲۰۲۱ دانلود شده است. داشتن یک اسکنر موثر مانند Trivy می تواند اطمینان حاصل کند که تیم های توسعه از تصاویر پایه به خوبی نگهداری شده و ایمن استفاده می کنند و خطر سوء استفاده را کاهش می دهد. .
Trivy اکنون به عنوان یک مشتری و سرور نیز کار می کند. راه اندازی و شروع استفاده از این ویژگی ها آسان است. یک نمودار رسمی Helm ارائه شده است، به طوری که سرور Trivy را می توان در یک خوشه Kubernetes نصب کرد، و Redis به عنوان یک کش پشتی برای مقیاس پشتیبانی می شود.
جدیدترین افزوده ما امکان اسکن فایل های پیکربندی زیرساخت به عنوان- است. ابزارهای کد (IaC) مانند Kubernetes، Docker و Terraform، برای شناسایی پیکربندیهای نادرست. Trivy میتواند فرمتهای رایج ابری را تجزیه کند و سپس مجموعهای از قوانین را اعمال کند که شیوههای امنیتی خوب را رمزگذاری میکنند. این امکان شناسایی سریع مسائل امنیتی احتمالی و فرصتهایی برای سختسازی مصنوعات برنامهها، مانند Dockerfiles و Kubernetes را فراهم میکند.
اسکن Terraform از مجموعه قوانین عالی پروژه Tfsec استفاده می کند، که اخیراً به اکوسیستم نرم افزار منبع باز Aqua پیوست. مجموعهای از بررسیها وجود دارد که سه ارائهدهنده اصلی ابر را پوشش میدهد، و میتوان از پایگاه قوانین Tfsec در مکانهای مختلف استفاده کرد که به اطمینان از اعمال سیاست منسجم از طریق فرآیند توسعه کمک میکند.
پیشرفتهای آتی Trivy پشتیبانی از اسکن IaC را برای Ansible، CloudFormation و Helm اضافه خواهند کرد. بهروزرسانیهای دیگر، پشتیبانی از Trivy را برای AlmaLinux، Rocky Linux و سایر سیستمعاملهای جدید که اخیراً منتشر شدهاند، اضافه میکنند، به علاوه پشتیبانی از زبانهای برنامهنویسی را گسترش میدهند و پشتیبانی از صورتحساب مواد نرمافزاری (SBOM) را معرفی میکنند.
یک اکوسیستم منبع باز برای امنیت بومی ابری
Trivy بخشی از مجموعه پروژههای امنیتی ابر منبع باز Aqua است. ما منبع باز را راهی برای دموکراتیک کردن امنیت و همچنین آموزش مهندسی، امنیت و توسعه تیمها از طریق ابزارهای قابل دسترس، کاهش شکاف مهارتها و خودکارسازی کنترلهای امنیتی در خطوط لوله بومی ابری بسیار قبل از تولید برنامهها میدانیم. دیگر پروژه های منبع باز ما عبارتند از:
- Tracee: با استفاده از ردیابی eBPF و امضاهای رفتاری مبتنی بر تحقیق، رفتارهای مشکوک را در زمان اجرا تشخیص میدهد.
- Tfsec: اسکن Terraform را با طراحی run-anywhere ارائه میکند که تضمین میکند آسیبپذیریها قبل از استقرار، بدون توجه به پیچیدگی، شناسایی میشوند.
- Starboard: یک ابزار امنیتی بومی Kubernetes برای اسکن تصاویر استفاده شده توسط بارهای کاری در یک خوشه Kubernetes.
- Kube-bench: برنده جایزه InfoWorld Bossie 2018، Kube-bench به طور خودکار تعیین می کند که آیا Kubernetes مطابق با توصیه های موجود در معیار CIS Kubernetes پیکربندی شده است یا خیر.
- Kube-hunter: ابزاری برای تست نفوذ که نقاط ضعف را در خوشههای Kubernetes جستجو میکند، بنابراین مدیران، اپراتورها و تیمهای امنیتی میتوانند هر مشکلی را قبل از اینکه مهاجمان قادر به سوء استفاده از آنها باشند شناسایی و برطرف کنند.
- CloudSploit: مدیریت وضعیت امنیت ابری (CSPM) را ارائه میدهد که تنظیمات حساب و سرویس ابری را در برابر بهترین شیوههای امنیتی ارزیابی میکند.
- Appshield: مجموعهای از سیاستها برای تشخیص پیکربندیهای نادرست، بهویژه مسائل امنیتی، در فایلهای پیکربندی و تعاریف زیرساخت بهعنوان کد.
این پروژهها با پلتفرم حفاظت از برنامههای بومی ابری Aqua و بسیاری از ابزارهای متداول اکوسیستم توسعهدهنده ادغام میشوند تا ضمن حفظ امنیت، به پذیرش سریعتر فناوریها و فرآیندهای بومی ابری کمک کنند. آنها توسط تیم منبع باز Aqua پشتیبانی می شوند که به طور جداگانه از مهندسی تجاری فعالیت می کنند. ما معتقدیم که این به ما امکان می دهد تعهد خود را برای ارائه پشتیبانی طولانی مدت، ایجاد ویژگی های مورد تقاضا با کد با کیفیت بالا، و مشارکت مستمر در پروژه های دیگر در جامعه منبع باز حفظ کنیم.
Teppei Fukuda یک مهندس نرم افزار منبع باز در Aqua Security است.
—
New Tech Forum مکانی برای کاوش و بحث در مورد فناوری سازمانی نوظهور در عمق و وسعت بی سابقه ای فراهم می کند. انتخاب ذهنی است، بر اساس انتخاب ما از فناوری هایی که معتقدیم مهم هستند و برای خوانندگان InfoWorld بیشترین علاقه را دارند. InfoWorld وثیقه بازاریابی را برای انتشار نمی پذیرد و حق ویرایش تمام محتوای ارائه شده را برای خود محفوظ می دارد. همه سوالات را به newtechforum@infoworld.com ارسال کنید.
پست های مرتبط
با اسکنر Trivy امنیت را در CI/CD ادغام کنید
با اسکنر Trivy امنیت را در CI/CD ادغام کنید
با اسکنر Trivy امنیت را در CI/CD ادغام کنید