با اسکنر Trivy امنیت را در CI/CD ادغام کنید

منبع باز Trivy به فرآیند ساخت نرم افزار متصل می شود و تصاویر کانتینر و فایل های زیرساخت به عنوان کد را برای آسیب پذیری ها و پیکربندی های نادرست اسکن می کند.

حملات به زیرساخت‌های ابری در حال افزایش است. تحقیقات در یک دوره شش ماهه در سال ۲۰۲۱ نشان می‌دهد که ۲۶٪ افزایش حملات در محیط های کانتینری در شش ماه گذشته عوامل مخرب فرآیند ساخت خودکار، بسته‌بندی بارها، استفاده از روت‌کیت‌ها و به خطر انداختن API‌های پیکربندی نادرست را هدف قرار می‌دهند – اغلب در کمتر از یک ساعت پس از راه‌اندازی.

اسکن خودکار آسیب‌پذیری در فرآیندهای توسعه می‌تواند احتمال حملات موفقیت‌آمیز را کاهش دهد و به محافظت از بار کاری کانتینری کمک کند. یکی از ابزارهای پیشرو که این امکان را فراهم می کند Aqua Security’s Trivy است، یک ابزار باز با کاربری آسان اسکنر آسیب‌پذیری منبع که به تیم‌ها کمک می‌کند تا به سمت چپ حرکت کنند تا امنیت را در خط لوله ساختن ادغام کنند.

از زمان آغاز به کار خود در چند سال پیش، Trivy محبوبیت گسترده و پشتیبانی گسترده ای را برای رویکرد ساده و ردیابی آسیب پذیری جامع خود در بسته های سیستم عامل و وابستگی های خاص زبان به دست آورده است. جامعه کاربر نهایی Cloud Native Computing Foundation، Trivy را به عنوان یک ابزار توسعه دهنده برتر برای رادار فناوری کاربر نهایی CNCF 2021 انتخاب کرد. . Trivy توسط بسیاری از پلتفرم‌ها و ارائه‌دهندگان نرم‌افزار پیشرو بومی ابری، از جمله Litmus، Kyverno، Istio و ExternalDNS به کار گرفته شده است. این اسکنر پیش فرض برای Harbor، GitLab و Artifact Hub است. و اسکن CI/CD Microsoft Azure Defender است. طراحی شده توسط Trivy.

Trivy از زمان ایجاد خود تا حد زیادی تکامل یافته است، و تمرکز ما بر سادگی و اثربخشی آن را به ابزاری حیاتی در جعبه ابزار هر برنامه‌نویس تبدیل می‌کند. در این مقاله، می‌خواهم نحوه ادغام امنیت Trivy در فرآیند ساخت را به شما معرفی کنم، برخی از پیشرفت‌های اخیر را به اشتراک بگذارم، و توضیح دهم که چگونه Trivy در اکوسیستم منبع باز گسترده‌تر Aqua Security برای ایمن‌سازی چرخه زندگی کامل برنامه‌های کاربردی ابری قرار می‌گیرد. .

چگونه Trivy کار می کند

سفر امنیت بومی ابری با مشاهده آسیب‌پذیری‌های موجود در کد آغاز می‌شود. شناسایی و کاهش مسائل در مرحله توسعه سطح حمله را کاهش می دهد و خطر را از بین می برد. برای برنامه‌های کاربردی ابری، این شامل اسکن تصاویر و عملکردها در حین ساخت، برای تشخیص زودهنگام مشکلات و امکان اصلاح سریع، و همچنین اسکن مداوم رجیستری‌ها برای در نظر گرفتن آسیب‌پذیری‌های تازه کشف‌شده است.

Trivy به تیم‌های توسعه‌دهنده امکان می‌دهد تا با همان سرعتی که توسعه نیاز دارد، راه‌اندازی و شروع به اسکن کنند. استقرار و ادغام در CI/CD Pipeline به سادگی دانلود و نصب باینری است. Trivy را می توان با ابزارهای CI، مانند Travis CI، CircleCI و GitLab CI ادغام کرد. اگر آسیب‌پذیری پیدا شود، می‌توان Trivy را طوری تنظیم کرد که اجرای کار با شکست مواجه شود. Trivy همچنین به‌عنوان GitHub Action در دسترس است که ادغام آسان با اسکن کد GitHub را امکان‌پذیر می‌سازد. . توسعه‌دهندگان می‌توانند اسکن تصویر کانتینر را در گردش کار GitHub Actions خود بسازند تا آسیب‌پذیری‌ها را قبل از رسیدن به تولید پیدا کرده و از بین ببرند.

برخلاف سایر اسکنرهای منبع باز، Trivy دید جامعی را در بین بسته های سیستم عامل و بسته های زبان برنامه نویسی فراهم می کند. داده‌های آسیب‌پذیری را سریع‌تر از ابزارهای جایگزین دریافت می‌کند، بنابراین اسکن چند ثانیه طول می‌کشد و CVE‌های مهم را می‌توان مستقیماً در خط فرمان فیلتر کرد.

Trivy یک پایگاه داده جمع و جور دارد، با قابلیت های به روز رسانی خودکار که نیازی به میان افزار خارجی یا وابستگی به پایگاه داده ندارد. Trivy با دانلود آخرین نسخه از پیش ساخته شده از GitHub به طور خودکار پایگاه داده را به روز نگه می دارد. این ابزار را قادر می سازد تا بسیار سریع و کارآمد باشد. این ابزار نتایجی را برای آسیب‌پذیری‌های ثابت و رفع‌نشده و نتایج مثبت کاذب کم برای سیستم‌عامل‌هایی مانند Alpine Linux.

پیشرفت های اخیر Trivy

Trivy با تاکید زیادی بر قابلیت استفاده، عملکرد و کارایی توسعه داده شد و پیشرفت‌های انجام شده در چند سال گذشته از این اصول اساسی پشتیبانی کرده است. ما قابلیت‌هایی اضافه کرده‌ایم که به تیم‌ها و فرآیندهای آن‌ها کمک می‌کند، در حالی که اطمینان می‌دهیم که ابزار بسیار مؤثر و قابل استفاده است.

علاوه بر اسکن تصویر کانتینر، Trivy اکنون از اسکن برای سیستم های فایل و مخازن Git پشتیبانی می کند. این قابلیت‌ها به تقویت بهترین شیوه‌های امنیتی کانتینر، مانند حفظ مجموعه‌ای از تصاویر پایه که به خوبی نگهداری و ایمن هستند، کمک می‌کند. به عنوان مثال، Aqua Security اخیراً نمونه‌ای از تصاویر رسمی Docker را با استفاده از Docker Hub API کشیده و سپس اسکن آنها را انجام داده است. تصاویر مربوط به آسیب پذیری ها. ما متوجه شدیم که بسیاری از تصاویر از سیستم‌عامل‌های پشتیبانی‌نشده، از جمله نسخه‌های قدیمی‌تر Debian یا Alpine استفاده می‌کنند و در برخی موارد، تصاویر رسمی دیگر پشتیبانی نمی‌شوند.

ما همچنین تصاویری با تعداد زیادی آسیب‌پذیری اصلاح‌نشده اما بدون اطلاعات رسمی انحلال پیدا کردیم. این شامل Nuxeo (186)، Backdrop (173)، Kaazing Gateway (95) و CentOS (86) است. آخرین مورد از اینها، CentOS، بیش از هفت میلیون بار بین ۲۹ ژوئیه و ۱۰ آگوست ۲۰۲۱ دانلود شده است. داشتن یک اسکنر موثر مانند Trivy می تواند اطمینان حاصل کند که تیم های توسعه از تصاویر پایه به خوبی نگهداری شده و ایمن استفاده می کنند و خطر سوء استفاده را کاهش می دهد. .

Trivy اکنون به عنوان یک مشتری و سرور نیز کار می کند. راه اندازی و شروع استفاده از این ویژگی ها آسان است. یک نمودار رسمی Helm ارائه شده است، به طوری که سرور Trivy را می توان در یک خوشه Kubernetes نصب کرد، و Redis به عنوان یک کش پشتی برای مقیاس پشتیبانی می شود.

جدیدترین افزوده ما امکان اسکن فایل های پیکربندی زیرساخت به عنوان- است. ابزارهای کد (IaC) مانند Kubernetes، Docker و Terraform، برای شناسایی پیکربندی‌های نادرست. Trivy می‌تواند فرمت‌های رایج ابری را تجزیه کند و سپس مجموعه‌ای از قوانین را اعمال کند که شیوه‌های امنیتی خوب را رمزگذاری می‌کنند. این امکان شناسایی سریع مسائل امنیتی احتمالی و فرصت‌هایی برای سخت‌سازی مصنوعات برنامه‌ها، مانند Dockerfiles و Kubernetes را فراهم می‌کند.

اسکن Terraform از مجموعه قوانین عالی پروژه Tfsec استفاده می کند، که اخیراً به اکوسیستم نرم افزار منبع باز Aqua پیوست. مجموعه‌ای از بررسی‌ها وجود دارد که سه ارائه‌دهنده اصلی ابر را پوشش می‌دهد، و می‌توان از پایگاه قوانین Tfsec در مکان‌های مختلف استفاده کرد که به اطمینان از اعمال سیاست منسجم از طریق فرآیند توسعه کمک می‌کند.

پیشرفت‌های آتی Trivy پشتیبانی از اسکن IaC را برای Ansible، CloudFormation و Helm اضافه خواهند کرد. به‌روزرسانی‌های دیگر، پشتیبانی از Trivy را برای AlmaLinux، Rocky Linux و سایر سیستم‌عامل‌های جدید که اخیراً منتشر شده‌اند، اضافه می‌کنند، به علاوه پشتیبانی از زبان‌های برنامه‌نویسی را گسترش می‌دهند و پشتیبانی از صورتحساب مواد نرم‌افزاری (SBOM) را معرفی می‌کنند.

یک اکوسیستم منبع باز برای امنیت بومی ابری

Trivy بخشی از مجموعه پروژه‌های امنیتی ابر منبع باز Aqua است. ما منبع باز را راهی برای دموکراتیک کردن امنیت و همچنین آموزش مهندسی، امنیت و توسعه تیم‌ها از طریق ابزارهای قابل دسترس، کاهش شکاف مهارت‌ها و خودکارسازی کنترل‌های امنیتی در خطوط لوله بومی ابری بسیار قبل از تولید برنامه‌ها می‌دانیم. دیگر پروژه های منبع باز ما عبارتند از:

• Tracee: با استفاده از ردیابی eBPF و امضاهای رفتاری مبتنی بر تحقیق، رفتارهای مشکوک را در زمان اجرا تشخیص می‌دهد.
• Tfsec: اسکن Terraform را با طراحی run-anywhere ارائه می‌کند که تضمین می‌کند آسیب‌پذیری‌ها قبل از استقرار، بدون توجه به پیچیدگی، شناسایی می‌شوند.
• Starboard: یک ابزار امنیتی بومی Kubernetes برای اسکن تصاویر استفاده شده توسط بارهای کاری در یک خوشه Kubernetes.
• Kube-bench: برنده جایزه InfoWorld Bossie 2018، Kube-bench به طور خودکار تعیین می کند که آیا Kubernetes مطابق با توصیه های موجود در معیار CIS Kubernetes پیکربندی شده است یا خیر.
• Kube-hunter: ابزاری برای تست نفوذ که نقاط ضعف را در خوشه‌های Kubernetes جستجو می‌کند، بنابراین مدیران، اپراتورها و تیم‌های امنیتی می‌توانند هر مشکلی را قبل از اینکه مهاجمان قادر به سوء استفاده از آن‌ها باشند شناسایی و برطرف کنند.
• CloudSploit: مدیریت وضعیت امنیت ابری (CSPM) را ارائه می‌دهد که تنظیمات حساب و سرویس ابری را در برابر بهترین شیوه‌های امنیتی ارزیابی می‌کند.
• Appshield: مجموعه‌ای از سیاست‌ها برای تشخیص پیکربندی‌های نادرست، به‌ویژه مسائل امنیتی، در فایل‌های پیکربندی و تعاریف زیرساخت به‌عنوان کد.

این پروژه‌ها با پلت‌فرم حفاظت از برنامه‌های بومی ابری Aqua و بسیاری از ابزارهای متداول اکوسیستم توسعه‌دهنده ادغام می‌شوند تا ضمن حفظ امنیت، به پذیرش سریع‌تر فناوری‌ها و فرآیندهای بومی ابری کمک کنند. آنها توسط تیم منبع باز Aqua پشتیبانی می شوند که به طور جداگانه از مهندسی تجاری فعالیت می کنند. ما معتقدیم که این به ما امکان می دهد تعهد خود را برای ارائه پشتیبانی طولانی مدت، ایجاد ویژگی های مورد تقاضا با کد با کیفیت بالا، و مشارکت مستمر در پروژه های دیگر در جامعه منبع باز حفظ کنیم.

Teppei Fukuda یک مهندس نرم افزار منبع باز در Aqua Security است.

—

New Tech Forum مکانی برای کاوش و بحث در مورد فناوری سازمانی نوظهور در عمق و وسعت بی سابقه ای فراهم می کند. انتخاب ذهنی است، بر اساس انتخاب ما از فناوری هایی که معتقدیم مهم هستند و برای خوانندگان InfoWorld بیشترین علاقه را دارند. InfoWorld وثیقه بازاریابی را برای انتشار نمی پذیرد و حق ویرایش تمام محتوای ارائه شده را برای خود محفوظ می دارد. همه سوالات را به newtechforum@infoworld.com ارسال کنید.