Les attaques contre les installations natives du cloud sont en augmentation. Une étude de recherche sur une période de six mois en 2021 montre une augmentation de 26% des attaques contre les environnements de conteneurs au cours des 6 derniers mois. Les étoiles nuisibles ciblent la procédure de construction automatique, emballent les charges utiles, utilisent des rootkits et compromettent les API mal configurées – souvent moins d’une heure après la configuration.
L’automatisation de l’analyse des vulnérabilités dans les procédures d’avancement peut minimiser la probabilité de attaques réussies et aider les charges de travail conteneurisées sécurisées. Parmi les principaux outils qui permettent cela, il y a Trivy d’Aqua Security, un scanner de vulnérabilité open source convivial qui aide les groupes à « décaler à gauche » pour intégrer la sécurité dans le pipeline de construction.
Étant donné qu’il n’a été créé que quelques années plus tôt, Trivy a en fait gagné en attrait et en support pour sa technique de base et son suivi des vulnérabilités étendu à la fois dans les plans du système d’exploitation et dans les dépendances spécifiques au langage. La communauté d’utilisateurs finaux de la Cloud Native Computing Foundation a sélectionné Trivy comme outil de développement de premier plan pour le radar d’innovation des utilisateurs finaux CNCF 2021. Trivy a été adopté par de nombreuses plateformes et fournisseurs de logiciels cloud natifs de premier plan, notamment Litmus, Kyverno, Istio et ExternalDNS ; c’est le scanner par défaut pour Harbor, GitLab et Artifact Center ; et l’analyse CI/CD de Microsoft Azure Defender est optimisée par Trivy.
Trivy a en fait beaucoup progressé étant donné que sa création, et notre concentration sur la simplicité et l’efficacité en fait un outil important dans la boîte à outils de tout développeur. Dans ce court article, je veux vous expliquer comment Trivy intègre la sécurité dans le processus de construction, partager quelques développements récents et décrire comment Trivy s’intègre dans l’environnement open source plus large d’Aqua Security pour protéger le processus de vie complet des applications natives du cloud.
Comment fonctionne Trivy
Le parcours de sécurité cloud-native commence par l’exposition aux vulnérabilités qui existent dans le code. L’identification et l’atténuation des problèmes lors de la phase de développement diminuent la surface d’attaque et éliminent le danger. Pour les applications natives du cloud, cela implique l’analyse des images et des fonctions au fur et à mesure de leur création, pour détecter les problèmes au plus tôt et permettre une résolution rapide, ainsi que l’analyse continue des registres de PC pour représenter les vulnérabilités nouvellement découvertes.
Trivy permet aux équipes devops pour configurer et commencer à numériser aussi vite que le développement l’exige. La publication et la combinaison dans le pipeline CI/CD sont aussi simples que le téléchargement et l’installation du binaire. Trivy peut être intégré à des outils CI, tels que Travis CI, CircleCI et GitLab CI. Trivy peut être configuré pour arrêter de travailler la tâche exécutée si une vulnérabilité est trouvée. Trivy est également disponible en tant qu’action GitHub, ce qui permet une intégration facile avec la numérisation de code GitHub. Les développeurs peuvent intégrer l’analyse d’images de conteneurs dans leur flux de travail GitHub Actions pour rechercher et éliminer les vulnérabilités avant qu’elles n’atteignent la production.
Aqua Security Aqua Security
Contrairement aux autres scanners open source, Trivy offre une visibilité complète sur les plans du système d’exploitation et affiche les packages linguistiques. Il récupère les informations de vulnérabilité beaucoup plus rapidement que les outils alternatifs, de sorte que l’analyse ne prend que quelques secondes et que les CVE cruciaux peuvent être filtrés directement dans la ligne de commande.
Aqua Security
Trivy a une base de données compacte, avec des capacités de mise à jour automatique qui ne nécessitent pas de middleware externe ou de dépendances de base de données. Trivy maintiendra automatiquement la base de données à jour en téléchargeant la version pré-construite actuelle à partir de GitHub. Cela permet à l’outil d’être très rapide et efficace. L’outil fournit des résultats pour les vulnérabilités réparées et non corrigées, et de faibles faux positifs pour les systèmes d’exploitation tels que Alpine Linux.
Améliorations récentes de Trivy
Trivy a été créé avec un fort accent sur l’utilisation, les performances , et l’efficacité, et les progrès réalisés au cours des dernières années ont soutenu ces concepts fondamentaux. Nous avons inclus des capacités qui aident les équipes de devops et leurs procédures, tout en veillant à ce que l’outil reste extrêmement efficace et simple à utiliser.
En plus de l’analyse des images de conteneurs, Trivy prend désormais en charge l’analyse des systèmes de fichiers et des référentiels Git. Ces capacités contribuent à améliorer les meilleures pratiques en matière de sécurité des conteneurs, telles que la préservation d’un ensemble d’images de base bien conservées, sûres et sécurisées. À titre d’exemple, Aqua Security a récemment extrait un échantillon des principales images Docker à l’aide de l’API Docker Center, puis a analysé ces images à la recherche de vulnérabilités. Nous avons découvert que de nombreuses images exécutaient des systèmes d’exploitation non pris en charge, constitués d’anciennes versions de Debian ou d’Alpine, qui dans de nombreux cas, les images officielles n’étaient plus prises en charge.
Aqua Security
Nous avons également découvert des images contenant un grand nombre de vulnérabilités non corrigées, mais aucune information d’obsolescence formelle. Cela inclut Nuxeo (186), Background (173), Kaazing Entrance (95) et CentOS (86). Le dernier d’entre eux, CentOS, avait été téléchargé plus de sept millions de fois entre le 29 juillet et le 10 août 2021. Avoir un scanner efficace comme Trivy peut garantir que les équipes de développement utilisent des images de base bien conservées et sûres, réduisant ainsi le risque d’exploitation. .
Trivy fonctionne désormais également en tant que client et serveur. Ces fonctions sont faciles à établir et à utiliser. Un graphique Helm principal est fourni, de sorte que le serveur Trivy puisse être installé dans un cluster Kubernetes, et Redis est pris en charge en tant que back-end de cache pour l’évolutivité.
Notre ajout le plus récent est la capacité d’analyser les fichiers de configuration d’outils d’infrastructure en tant que code (IaC) tels que Kubernetes, Docker et Terraform, pour détecter les erreurs de configuration. Trivy peut analyser les formats natifs du cloud fréquemment utilisés, puis appliquer un ensemble de directives qui codent les bonnes pratiques de sécurité. Cela permet une reconnaissance rapide des problèmes de sécurité possibles et des chances de renforcer les artefacts d’application, tels que les manifestes Dockerfiles et Kubernetes.
L’analyse Terraform tire parti de l’ensemble de règles exceptionnel de la tâche Tfsec, qui a récemment rejoint l’application logicielle open source Aqua écosystème. Il existe des ensembles de vérifications couvrant les 3 principales sociétés de cloud computing, et il est possible d’utiliser la base de règles Tfsec à plusieurs endroits, ce qui permet d’assurer une application cohérente des politiques tout au long de la procédure de développement.
Les améliorations futures de Trivy ajouteront une assistance à l’analyse IaC pour Ansible, CloudFormation et Helm. D’autres mises à jour incluront la prise en charge de Trivy pour les systèmes d’exploitation récemment lancés AlmaLinux, Rocky Linux et d’autres tout nouveaux systèmes d’exploitation, ainsi qu’une assistance élargie pour les langues des émissions et une prise en charge actuelle de la nomenclature des applications logicielles (SBOM).
Une communauté open source pour la sécurité cloud native
Trivy fait partie du portefeuille d’Aqua de tâches de sécurité cloud native open source. Nous considérons l’open source comme une méthode pour égaliser la sécurité et également éduquer les groupes d’ingénierie, de sécurité et de développement grâce aux outils disponibles, réduisant l’écart de capacités et automatisant les contrôles de sécurité dans les pipelines natifs du cloud bien avant que les applications n’entrent en production. Nos autres projets open source incluent :
- Tracee : découvre les habitudes suspectes au moment de l’exécution à l’aide du traçage eBPF et des signatures comportementales axées sur la recherche.
- Tfsec : fournit une analyse Terraform avec un run- Style n’importe où qui garantit que les vulnérabilités sont identifiées avant la publication, quelle que soit leur complexité.
- Starboard : une boîte à outils de sécurité native Kubernetes pour analyser les images utilisées par le travail dans un cluster Kubernetes.
- Kube- banc : Lauréat d’un prix InfoWorld Bossie 2018, Kube-bench détermine immédiatement si Kubernetes est configuré conformément aux suggestions du benchmark Kubernetes CIS.
- Kube-hunter : un outil de détection de pénétration qui recherche les faiblesses de Kubernetes clusters, afin que les administrateurs, les opérateurs et les groupes de sécurité puissent identifier et traiter tous les problèmes avant que les ennemis ne puissent les exploiter.
- CloudSploit : fournit la gestion de la posture de sécurité du cloud (CSPM), évaluant les configurations de compte et de service cloud par rapport aux meilleures pratiques de sécurité ces.
- Appshield : un ensemble de politiques permettant d’identifier les erreurs de configuration, en particulier les problèmes de sécurité, dans les fichiers de configuration et les définitions d’infrastructure en tant que code.
Ces projets s’intègrent à Aqua’s. Cloud Native Application Protection Platform et avec de nombreux outils de l’écosystème devops fréquemment utilisés pour aider à accélérer l’adoption des innovations et des processus natifs du cloud, tout en préservant la sécurité. Ils sont soutenus par l’équipe open source d’Aqua, qui s’exécute individuellement à partir de l’ingénierie industrielle. Notre société pense que cela nous permet de maintenir notre engagement à fournir une assistance de longue durée, à créer des fonctions à la demande avec un code premium et à contribuer continuellement à d’autres travaux dans le domaine de l’open source.
Teppei Fukuda est ingénieur logiciel open source chez Aqua Security.
— Nouveau
Tech Forum fournit un lieu pour vérifier et passer en revue les innovations commerciales émergentes avec une profondeur et une ampleur sans précédent. Le choix est subjectif, basé sur notre sélection des technologies que nous pensons être essentielles et du plus grand intérêt pour les lecteurs d’InfoWorld. InfoWorld décline les supports marketing pour la publication et se réserve le droit de modifier tout le matériel fourni. Envoyez toutes vos questions à newtechforum@infoworld.com.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
