Kubernetes 可信任软件供应链概述

最新推荐文章于 2024-08-22 15:32:45 发布

富士康质检员张全蛋

最新推荐文章于 2024-08-22 15:32:45 发布

阅读量237

点赞数

分类专栏： Kubernetes 安全

本文链接：https://blog.csdn.net/qq_34556414/article/details/118861287

版权

Kubernetes 安全专栏收录该内容

36 篇文章 20 订阅

订阅专栏

可信任软件供应链概述

可信任软件供应链：指在建设基础架构过程中，涉及的软件都是可信任的。

在K8s领域可信软件供应链主要是指镜像，因为一些软件交付物都是镜像，部署的最小载体。

镜像构建要写dockefile去构建，默认收以root账号权限去运行的，如果你不清楚这一块，那么这块的风险就已经放开了

构建镜像Dockerfile文件优化

• 减少镜像层： 一次RUN指令形成新的一层，尽量Shell命令都写在一行，减少镜像层。

• 清理无用文件： 清理对应的残留数据，例如yum缓存，减少镜像的大小。（拉取速度块，减少磁盘空间少）

[root@master ~]# du -sh /var/cache/yum/x86_64
254M	/var/cache/yum/x86_64

• 清理无用的软件包： 基础镜像默认会带一些debug工具，可以删除掉，仅保留应用程序所需软件，防止黑客利用。

[root@k8s-master ~]# docker exec -it aadd7709d11d bash
root@aadd7709d11d:/# ifconfig
bash: ifconfig: command not found

• 选择最小的基础镜像 ：例如alpine（使用apk对包进行管理，ubuntu使用apt-get，centos使用yum）

• 使用非root用户运行： USER指令指定普通用户

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

富士康质检员张全蛋

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

8大软件供应链攻击事件概述

阿道夫的博客

12-09

566

我们在之前的文章中已经清楚地了解到什么是软件供应链。那么我们现在继续深入，将重点放在源代码上。举个例子，你的源代码将存储在私有的Git仓库中，这可能是你的基础设施的一部分，也可能是供应商提供的 SaaS，还有编译器工具、基础容器镜像仓库等。而一些依赖项则托管在公开的代码库中，如 Docker Hub 或 Quay.io，可能会受到损坏。此外，我们也将我们的应用程序作为容器镜像发布在公开的代码仓库中。

文献阅读笔记 # 开源软件供应链安全研究综述

skysys的研究小屋

02-23

1676

本文总结了开源软件供应链的关键环节, 基于近10年的攻击事件总结了开源软件供应链的威胁模型和安全趋势, 并通过对现有安全研究成果的调研分析, 从风险识别和加固防御两个方面总结了开源软件供应链安全的研究现状, 最后对开源软件供应链安全所面临的挑战和未来研究方向进行了展望和总结。

参与评论您还未登录，请先登录后发表或查看评论

软件供应链的基础:SBOM

qzt961003的博客

08-03

207

供应链攻击是针对应用程序组件的供应商而不是应用程序本身的恶意攻击。软件供应链类似于物理供应链。当你购买 iPhone 时，你看到的只是成品。在最终产品的背后，是一个由零部件供应商组成的复杂网络，这些供应商随后被组装在一起，生产 iPhone。来自日本公司的显示器和相机镜头，来自亚利桑那州的 CPU，来自圣地亚哥的调制解调器，来自加拿大矿山的锂离子电池;所有这些部件在深圳组装工厂组装成最终产品，然后直接运到你的家门口。

一文读懂什么是软件供应链安全

qzt961003的博客

06-06

5962

在本文中，我们将进一步探讨什么是软件供应链安全，以及为什么它很重要，同时我们可以采用哪些最佳实践，以确保公司和组织免受供应链攻击。

供应链管理系统是什么？有没有好用的供应链管理系统推荐？

最新发布

jdyzzy的博客

08-22

612

在企业的运营中，供应链管理系统起着至关重要的作用。它就像是一条无形的纽带，将供应商、制造商、分销商和零售商紧密连接在一起。一个高效的供应链管理系统可以帮助企业优化库存管理、降低成本、提高交付速度，从而提升企业的竞争力。无论是大型企业还是中小企业，都离不开一个强大的供应链管理系统来保障业务的顺利进行。

再谈“开源软件供应链安全”

dotNET跨平台

01-23

553

| 作者：庄表伟|编辑：刘雪洁| 设计：周颖| 责编：王玥敏缘起之前写过一篇文章《我所理解的开源软件供应链安全》，当时的情况，还没有出现一些值得探讨的，堪称紧迫的热点事件，所以我也仅仅是...

美国商务部机构建议这样生成软件供应链 “身份证”

smellycat000的专栏

05-07

831

《软件供应商手册：SBOM的生成和提供》译文董国伟奇安信科技集团股份有限公司美国国家电信和信息管理局(NTIA)格式化和工具工作组2021年11月17日★ 目录 ★01概览02工作流程概述03不同工作流程的差异3.1 当前的最佳实践与非自动化工程过程3.1.1 自动化的工作流程：作为构建工件生成SBOM3.1.2 在管道构建和软件工厂中生成SBOM3.2 容器化过程中S...

零信任带来的安全变革概述

m0_73803866的博客

09-20

124

如此复杂的环境还需要政府就NIST风险管理框架 (RMF) 如何帮助开发和实施提供持续的ZTA指导，如NIST出版的《零信任架构规划：管理员入门指南》中所示，仍然需要其他行业指南帮助IT和安全专家了解如何评估、评估和统一现有的各种各样的零信任方法。虽然Kubernetes 和服务网格架构通常与正在实施的组件（如容器和sidecar代理）无关，但鉴于当今混合环境中软件和硬件的多样性，将零信任架构ZTA正确应用于容器化应用程序环境，需要对最佳实践进行一定程度的行业标准化。和更高效的策略管理解决方案的发展。

Sigstore：软件签名解决供应链妥协问题

Sigstore：面向所有人的软件签名ZacharyNewmanChainguardzjn@chainguard.devJohn SpeedMeyersChainguardjsmeyers@chainguard.dev圣地亚哥·托雷斯-...计算机工程系santiagotorres@purdue.edu摘要软件供应链的妥协正在上升...

Node-ipc 热门包作者投毒“社死‘’，谁来保护开源软件供应链安全？

smellycat000的专栏

03-16

4702

Kubernetes基础入门（完整版）

starsray的博客

07-01

9246

简介 Kubernetes这个名字源于希腊语，意为"舵手"或"飞行员”。k8s这个缩写是因为k和s之间有八个字符。Google在 2014年开源了Kubernetes项目，Kubernetes是一个用于自动化部署、扩展和管理容器化应用程序的开源系统。同样类似的容器编排工具还有docker swarm/mesos等，但kubernetes应用最为广泛，社区更为活跃。 kubernetes主要包含了...

【spark床头书系列】Spark 如何在Kubernetes运行官方权威资料spark on k8s

wang2leee的博客

11-17

192

Spark可以在由Kubernetes管理的集群上运行。这个特性利用了添加到Spark中的原生Kubernetes调度器。

我所理解的开源软件供应链安全

开源社KAIYUANSHE的博客

05-13

1620

点击上方“开源社”关注我们| 作者：庄表伟|编辑：钱英宇| 设计：谭嘉露|责编：王玥敏1供应链与断供隐喻会帮助人，也会误导人。当我们谈到“供应链”时，会产生哪些联想？环环相扣？缺一不可...

Kubernetes kubeconfig配置文件详细解读

热门推荐

小楼一夜听春雨，深巷明朝卖杏花

11-23

2万+

kubeconfig配置文件在node节点上可以执行kubectl命令吗？ [root@k8s-node1 ~]# kubectl get node The connection to the server localhost:8080 was refused - did you specify the right host or port? localhost:8080这个端口是k8s api（kube-apiserver非安全端口）的端口，在master上面可以执行成功其...

Kubernetes SecurityContext 安全上下文 runAsUser以及阻止容器使用 root 户运行

小楼一夜听春雨，深巷明朝卖杏花

08-05

8667

配置节点的安全上下文除了让 pod 使用宿主节点的 Linux 命名空间，还可以在 pod 或其所属容器的描述中通过 security Context 边项配置其他与安全性相关的特性。这个选项可以运用于整个 pod ，或者每个 pod 中单独的容器。了解安全上下文中可以配置的内容，配置安全上下文可以允许你做很多事指定容器中运行进程的用户（用户ID ）。阻止容器使用 root 户运行（容器的默认运行用户通常在其镜像中指定，所以可能需要阻止容器 root 用户运行使用特权模式运行

Kubernetes RBAC 为指定用户授权访问不同命名空间权限

小楼一夜听春雨，深巷明朝卖杏花

01-18

7479

在开启了 TLS 的集群中，每当与集群交互的时候少不了的是身份认证，使用 kubeconfig（即证书）和 token 两种认证方式是最简单也最通用的认证方式。以kubectl为例介绍kubeconfig的配置。kubectl只是个go编写的可执行程序，只要为kubectl配置合适的kubeconfig，就可以在集群中的任意节点使用。kubectl默认会从$HOME/.kube目录下查找文件名为config的文件，也可以通过设置环境变量KUBECONFIG或者通过设置--kubeconfig...

Kubernetes SecurityContext 安全上下文特权模式运行pod

小楼一夜听春雨，深巷明朝卖杏花

08-06

6619

使用特权模式运行 pod 有时pod 需要做它们的宿主节点上能够做的任何事，例如操作被保护的系统设备，或使用其他在通常容器中不能使用的内核功能，这种 pod 个样例就是 kube-proxy pod ，该 pod需要修改宿主机的 iptables规则来让 kubernetes 中的服务规生效。使用 kubeadm 部署集群时，你会看到每个节点上都运行了 kube-proxy pod，并且可以查 YAML描述文件中所有使用到的特殊特性。 [root@k8s-master ~]# ..

Kubernetes 容器安全 Seccomp 限制容器进程系统调用

小楼一夜听春雨，深巷明朝卖杏花

07-05

4076

Seccomp（Secure computing mode）是一个 Linux 内核安全模块，可用于应用进程允许使用的系统调用。容器实际上是宿主机上运行的一个进程，共享宿主机内核，如果所有容器都具有任何系统调用的能力，那么容器如果被入侵，就很轻松绕过容器隔离更改宿主机系统权限或者进入宿主机。这就可以使用Seccomp机制限制容器系统调用，有效减少攻击面。 Linux发行版内置：CentOS、Ubuntu 在Kubernetes中使用Seccomp：Seccomp在K8