工具|Google推出可用来保护容器供应链的工具
文章插图
Google云计算用户现可以使用容器供应链安全工具Voucher,确保部署到生产环境程序代码的安全性。Voucher是由电子商务公司Shopify所开发,可在Google云计算评估CI/CD所创建的容器镜像文件,并仅于满足预先定义的安全标准下,才给予这些镜像文件签章,二进制授权(Binary Authorization)会在部署时验证签章,确保符组成织政策和法遵要求的程序代码,才能部署到生产环境中。
不少开发人员使用Kubernetes构建可扩展软件,但Google提到,要安全的进行扩展,必需要在软件供应链加入治理能力,包括托管安全基础镜像文件、容器注册表漏洞扫描,以及二进制授权等,才能保证大量部署的程序代码品质。
而Voucher则可以补齐二进制授权工具链,让用户保护软件供应工作管线,Voucher是一个开源工具,遵循元资料服务器Grafeas规范,其生成的签章,可供二进制授权或是Kubernetes政策引擎Kritis使用。
用户可在镜像文件构建之后,在生产部署之前,于CI/DC工作管线调用Voucher,Voucher会从镜像文件注册表中,截取新构建的镜像文件,并且进行用户要求的所有检查,一旦通过检查,Voucher便会为该镜像文件产生证明,这些证明会被推送到元资料服务器中,供Kritis进行验证。
【 工具|Google推出可用来保护容器供应链的工具】Voucher让基础设施工程师,可以使用二进制授权来强制实施安全需求,像是限制镜像文件出处,或是阻挡易受攻击的镜像文件,仅能使用目前没有任何已知漏洞的镜像文件等。Shopify资深基础设施安全工程师Cat Jones提到,Shopify每天要交付超过8,000个软件版本,并维护内置330,000个容器的注册表,因此Shopify和Google一起设计了Voucher,以利用安全且全面的方法,来验证要交付到生产环境的镜像文件。
结合Voucher、具漏洞扫描功能的容器镜像文件以及二进制授权,用户能以多层安全策略,来防护生产系统,并且尽可能减少对交付速度的影响。不过,Google提醒,为了避免特权升级的问题,签章步骤应该托管在CI/CD工作管线之外,虽然这样会给DevOps团队带来大量的负担,但是Voucher能够自动化进行大部分的设置,用户仅需要在二进制授权中指定签章政策。
现在用户已经可以在Google云计算中使用Voucher,可以选择从GitHub中下载,或是从Google云计算市场中,安装快速部署版本。
- 采用|消息称一加9系列将推出三款新机,新增一加9E
- 自动|碳博士控股子公司推出最新款自动驾驶清扫车
- 二维码|村网通?澳大利亚一州推出疫情追踪二维码 还考虑采用人脸识别和地理定位
- 短视频平台|大数据佐证,抖音带动三千万就业,视频手机将成生产力工具?
- 车辆|魔道之争,自主驾驶汽车会不会变成犯罪分子的工具?
- sd|sd卡修复工具有哪些?两个办法就可以搞定了
- 推出|三星可能会推出一款名为“Galaxy Smart Tag”的追踪器
- 台湾|(港澳台)台湾诚品书店推出全新电商平台
- 至上|男人的工具箱:五金工具跟着我来买,实用至上,绝不吃灰
- 智能手机|斗球新闻:Reliance Jio与Vivo合作在印度推出Jio独家智能手机