Testes automatizados baseados em nuvem aumentam a velocidade rapidamente
24 de janeiro de 2024
O que Wasm precisa para chegar ao limite
24 de janeiro de 2024
Todo software (e até mesmo hardware) contém vulnerabilidades de segurança, e o número de CVEs (vulnerabilidades e exposições comuns) relatados publicamente continua a crescer a cada dia. Todo software depende de outro software, que pode incluir uma vulnerabilidade em cada nível, exacerbando ainda mais o risco e reforçando a urgência das organizações detectarem e corrigirem vulnerabilidades. Vamos dar uma olhada em como detectar CVEs e práticas recomendadas para reduzi-los em seus aplicativos de contêiner por meio de prevenção e detecção.
Fontes típicas de CVEs
Existem três fontes comuns de CVEs.
- Imagem básica:Todas as distribuições (Alpine, Ubuntu, Red Hat, etc.) possuem bibliotecas integradas que são atualizadas com o lançamento de cada distribuição. Se o seu software estiver fixado em uma versão de imagem base lançada há um ano, as bibliotecas subjacentes não terão sido atualizadas desde então e provavelmente conterão CVEs.
- Código: Seu código depende de outras bibliotecas de software (dependências de código) e, se essas bibliotecas estiverem fixadas em versões antigas, elas poderão conter CVEs. Embora o CVE não esteja diretamente relacionado ao seu código, ele ainda poderá estar vulnerável se a função vulnerável estiver sendo usada. Isso é conhecido como vulnerabilidade transitiva. Por exemplo, se você usar bibliotecas Kubernetes em seu próprio código e uma das bibliotecas Kubernetes tiver um CVE, seu código poderá ficar potencialmente vulnerável.
- Linguagem de codificação:As bibliotecas de idiomas que você usa podem ter CVEs. Por exemplo, Golang poderia ter alguns CVEs em sua própria linguagem que são corrigidos regularmente nas novas versões do Golang.
Todas essas fontes abrem seu ambiente para CVEs em potencial e aumentam sua superfície de ataque.
Tigera fornece a única plataforma de segurança ativa do setor com observabilidade full-stack para contêineres e Kubernetes. A plataforma da Tigera, entregue como um SaaS totalmente gerenciado ou serviço autogerenciado, previne, detecta, soluciona problemas e mitiga automaticamente os riscos de exposição a violações de segurança. A Insight Partners é investidora na Tigera e na TNS.
Saber mais
As últimas novidades da Tigera
$(document).ready(function() { $.ajax({ método: ‘POST’, url: ‘/no-cache/sponsors-rss-block/’, headers: { ‘Cache-Control’: ‘no- cache, no-store, must-revalidate’, ‘Pragma’: ‘no-cache’, ‘Expires’: ‘0’ }, dados: { patrocinadorSlug: ‘tigera’, numItems: 3 }, sucesso: função (dados) { if (data.startsWith(‘ERROR’)) { console.log(data); $(‘.sponsor-note-rss’).hide(); } else { $(‘.sponsor-note-rss-items -tigera’).html(dados); } } }); });
Detectando CVEs
O trabalho de detecção de CVEs geralmente é realizado por scanners de vulnerabilidades, dos quais existem diversas versões gratuitas e pagas. Os scanners de vulnerabilidade identificam tudo em que o seu software consiste (imagem base, código, linguagem, etc.) para construir uma lista de componentes de software ou uma lista de materiais de software (SBOM). Essas informações são verificadas no próprio banco de dados do scanner para identificar quais bibliotecas apresentam vulnerabilidades.
Pode haver variabilidade nos resultados da verificação de diferentes scanners de vulnerabilidade. Existem algumas razões para isso. Primeiro, alguns scanners podem usar apenas CVEs de bancos de dados padrão nacionais, como o National Vulnerability Database (NVD) dos EUA, enquanto outros usam bancos de dados adicionais de terceiros. Em segundo lugar, a forma como um scanner de vulnerabilidade identifica bibliotecas dentro do código pode diferir na maneira como detecta binários de software e combina vulnerabilidades conhecidas com esses binários de software. Terceiro, a forma como os scanners lidam com dependências transitivas (dependências de dependências que você importa para o seu código) varia em profundidade e granularidade. Todas essas considerações podem fazer a diferença no resultado/resultados de uma varredura.
Tudo isso quer dizer que os scanners de vulnerabilidade não são perfeitos; eles podem perder coisas ou não entender o quadro completo. Eles podem não encontrar todas as fontes (tudo o que compõe o seu software) e podem retornar resultados variados. Vejamos algumas práticas recomendadas para prevenção e detecção que podem ajudar na proteção contra esses déficits.
Melhores práticas para reduzir CVEs em aplicações de contêiner
É importante detectar e corrigir CVEs em tempo hábil para garantir a segurança do seu ambiente/produto. O grande número de CVEs notificados, combinado com múltiplas fontes potenciais de CVEs, pode tornar esta tarefa difícil. Aqui estão cinco práticas recomendadas para reduzir CVEs em seus aplicativos de contêiner.
- Corte sua imagem base: Incluir muitas bibliotecas em seu código e imagem base aumenta sua superfície de ataque. A prática recomendada é incluir apenas as bibliotecas necessárias. Para fazer isso, comece com uma imagem de rascunho e copie apenas as bibliotecas específicas da imagem base mais recente necessária. Se houver 100 bibliotecas em uma imagem base, inclua apenas as 10 que você realmente precisa.
- Use as melhores e mais recentes bibliotecas: Siga consistentemente as atualizações de código das bibliotecas que você usa e fique à frente atualizando regularmente quando novas versões estiverem disponíveis. Se houver uma nova versão da linguagem de codificação que você usa, inclua-a na próxima versão.
- Use mais de um scanner de vulnerabilidade:Como os scanners de vulnerabilidade podem produzir resultados diferentes, você deve usar mais de um scanner em um esforço para detectar o maior número possível de vulnerabilidades potenciais. Também recomendamos verificar a fonte do seu código (como GitHub) para obter uma cobertura ainda mais ampla caso os scanners percam alguma coisa ou não tenham acesso ao seu código.
- Digitalize frequentemente:Recomendamos realizar verificações regulares (pelo menos uma vez por semana) do seu software para monitorar o status dos CVEs. Antes de um lançamento, aumentar a frequência das verificações para várias vezes ao dia ajuda a garantir que os CVEs não passem despercebidos. Como alternativa, é recomendável integrar a verificação de vulnerabilidades ao seu processo de construção ou implantação de CI/CD, se isso for melhor para o processo de lançamento de software da sua organização.
- Deslocar para a esquerda:Tradicionalmente, a verificação de vulnerabilidades e as avaliações de segurança são realizadas por equipes de segurança especializadas ou por auditores externos após o desenvolvimento do código. Transfira a responsabilidade dos processos de verificação de vulnerabilidades para mais perto das equipes de desenvolvimento para evitar um processo de resolução longo e complicado quando CVEs forem descobertos. Mudar a visibilidade e criar processos para abordar proativamente os CVEs para os desenvolvedores permite que eles se tornem mais responsáveis e envolvidos na segurança de seu próprio código desde o início.
Por último, certifique-se de ter um bom relacionamento com a equipe de desenvolvimento da sua organização, pois ambos precisarão estar na mesma página em termos de compreensão da importância da segurança em seu ambiente/produto. Isso é feito por meio de educação e treinamento em segurança, estabelecendo diretrizes de segurança e criando um processo que considera os processos e necessidades exclusivos da sua organização de engenharia.
O que fazer após detectar CVEs
Você examinou seu ambiente para identificar CVEs e agora está diante de uma lista de 200 itens para corrigir. Qual o proximo? Não há como analisar todos eles antes do lançamento do próximo lote de CVEs, então comece identificando e corrigindo os CVEs de alta prioridade primeiro e, se tiver tempo, vá descendo na lista em termos de prioridade. Para uma discussão mais detalhada sobre correção de CVEs, fique atento ao nosso próximo artigo, “Gerenciamento de vulnerabilidades: práticas recomendadas para correção de CVEs”.
Leia nosso guia para saber mais sobre Verificação de vulnerabilidade do Kubernetes.
A postagem 5 melhores práticas para reduzir CVEs em aplicativos de contêiner apareceu pela primeira vez em The New Stack.
