Kubernetes 将大量采用 Sigstore 来保护开源生态系统

简介: Kubernetes 1.24 是第一个正式使用 Sigstore 的版本,能够无缝验证签名,以防止 560 万开发者社区遭受供应链攻击

Kubernetes 1.24 是第一个正式使用 Sigstore 的版本,能够无缝验证签名,以防止 560 万开发者社区遭受供应链攻击

Kubernetes 和 Sigstore 社区宣布,Kubernetes 将在生产中采用 Sigstore 来签署工件和验证签名,这使得 Kubernetes 用户第一次能够验证他们正在使用的发行版正是它所声称的。

去年刚刚推出的 Sigstore 是一项面向软件开发人员的免费签名服务,它通过实现由透明日志技术支持的加密软件签名的轻松采用,提高了软件供应链的安全性。它迅速成为签名、验证和保护软件的标准,因为它能够自动进行数字签名和检查软件工件,使软件具有更安全的监管链,可以追溯到源头。

今天发布的 Kubernetes 1.24 以及所有未来的版本都将包括加密签名的 Sigstore 证书,使用户能够验证签名,并对每个已部署的 Kubernetes 二进制文件、源代码包和容器镜像的来源更有信心。

“这是保护 Kubernetes 生态系统完整性的巨大一步,表明由于供应链攻击的增加,大规模代码签名是可能的,坦率地说是必要的。”Chainguard 开源负责人 Tracy Miranda 表示:“这种采用和集成是与多个利益相关方数月合作的结果,也是对开源协作力量的证明。”

“很高兴看到 sigstore 的采用,特别是像 Kubernetes 这样的项目,它运行许多需要最大限度保护的关键工作负载,”Red Hat CTO 安全工程主管、Kubernetes 安全响应团队成员、sigstore 项目创始人 Luke Hinds 说。

“Kubernetes 是一个众所周知并被广泛采用的开源项目,它可以激励其他开源项目通过遵循 SLSA 等级,并使用 Sigstore 签名来提高他们的软件供应链安全性,”Google 软件工程师、Sigstore TSC 成员和项目创始人 Bob Callaway 说。“我们将 Sigstore 打造得简单、免费、无缝,这样它就会被广泛采用,并保护我们免受供应链攻击。Kubernetes 选择使用 Sigstore 就是对这项工作的证明。”

2021 年初,Kubernetes 发布团队开始探索 SLSA 合规性,以提高 Kubernetes 软件供应链的安全性。SLSA 是一个安全框架,包括一个标准和控制清单,以防止篡改,提高完整性,并保护你的项目,业务或企业的软件包和基础设施。Sigstore 是实现 SLSA 2 级标准的关键项目,也是实现 SLSA 3 级标准的开端,Kubernetes 社区希望在今年 8 月实现这一目标。

Sigstore 还为 Kubernetes 社区带来了各种好处,包括:

  • Sigstore 的无密钥签名为开发人员提供了良好的体验,并且消除了痛苦的密钥管理需求。
  • Sigstore 的公共透明日志(Rekor[1])和 API 意味着 Kubernetes 的消费者可以很容易地验证签名的工件。
  • Sigstore 对标准的使用,例如对任何 OCI(Open Container Initiative)工件(包括容器、Helm Charts、配置文件和策略包)和 OIDC(OpenID Connect)的支持,意味着它可以与其他工具和服务无缝集成。
  • 非常活跃的、开源的和厂商中立的 Sigstore 社区给了我们信心,相信这个项目会很快被采用并成为事实上的行业标准。

“多年来,SIG Release 一直致力于逐步增强 Kubernetes 项目版本的健壮性。这一最新的声明,以及开源社区之间的合作使之成为可能,是在行业内越来越意识到软件供应链和开源项目发布是一个我们都必须努力改进的关键领域的背景下出现的。安全是一个永无止境的旅程,但为降低攻击者破坏我们供应链完整性的能力而采取的每一步都非常重要。”VMware 开源技术中心负责人、Kubernetes 指导委员会和荣誉退休 SIG Release 负责人 Tim Pepper 说。

“我个人为整个 SIG 发布团队感到骄傲,尤其是发布工程子项目。我们设法交付了一个重要的里程碑,作为我们总体路线图和愿景[2]的一部分,为 Kubernetes 建立一个可消费、可内省且安全的供应链。为供应链安全树立榜样是我们目前最重要的工作之一。在 Kubernetes v1.24 发布周期中,我们设法完成了 50 多个 GitHub 问题,并且只为容器镜像签名的 MVP(最低价值产品,Minimum Valuable Product)拉请求,这对整个团队来说是一个巨大的成就!我谨代表 SIG 发布领导团队再次向你表示感谢,我们期待着供应链安全的美好未来,”Kubernetes SIG Release 主席兼 RedHat 高级软件工程师 Sascha Grunert 说道。

除了数百万直接或间接使用 Kubernetes 的开发人员之外,这也有利于公司中所有旨在符合最近的 NIST 安全软件开发框架(SSDF)要求的人。(参见 Sigstore + NIST SSDF[3])。

更多关于 Sigstore 的信息,请访问:https://www.sigstore.dev/

参考资料

[1]Rekor: https://github.com/sigstore/rekor

[2]路线图和愿景: https://github.com/kubernetes/sig-release/blob/master/roadmap.md

[3]Sigstore + NIST SSDF: https://blog.chainguard.dev/how-sigstore-can-help-you-and-your-team-follow-the-nist-ssdf-recommendations/

原文链接:https://mp.weixin.qq.com/s/VjXOEGjDPWyq4AWfj9-NZw

相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
目录
相关文章
|
4月前
|
Kubernetes 负载均衡 微服务
Kubernetes 生态系统中的微服务治理
【8月更文第29天】随着微服务架构的普及,管理分布式系统的复杂性也随之增加。Kubernetes 作为容器编排的事实标准,为微服务架构提供了强大的支持。结合像 Istio 这样的服务网格工具,Kubernetes 能够有效地解决微服务治理中的诸多挑战,如服务发现、负载均衡、流量管理和安全策略等。
66 1
|
1月前
|
Ubuntu 网络安全 容器
KubeSphere 是一个开源的容器平台,提供丰富的功能和便捷的操作界面,适用于企业容器化部署和管理
KubeSphere 是一个开源的容器平台,提供丰富的功能和便捷的操作界面,适用于企业容器化部署和管理。本文详细介绍了如何在 Ubuntu 22.04 上安装 KubeSphere,包括系统要求、安装依赖项、设置防火墙、下载安装脚本、选择安装选项、验证安装结果等步骤,并提供了常见问题的解决方法。希望本文能为读者提供实用的参考和帮助。
34 3
|
1月前
|
Kubernetes 安全 容器
关于K8s,不错的开源工具
【10月更文挑战第12天】
|
2月前
|
Kubernetes 监控 测试技术
k8s学习--基于Ingress-nginx实现灰度发布系统
k8s学习--基于Ingress-nginx实现灰度发布系统
130 2
k8s学习--基于Ingress-nginx实现灰度发布系统
|
3月前
|
Linux pouch 容器
CentOS7部署阿里巴巴开源的pouch容器管理工具实战
关于如何在CentOS 7.6操作系统上安装和使用阿里巴巴开源的Pouch容器管理工具的实战教程。
140 2
CentOS7部署阿里巴巴开源的pouch容器管理工具实战
|
4月前
|
存储 Kubernetes API
Kubernetes系统
8月更文挑战第23天
51 1
|
4月前
|
资源调度 Kubernetes 调度
玩转Kubernetes集群:掌握节点和Pod自动扩缩容,让你的系统更智能、更高效!
【8月更文挑战第22天】Kubernetes的核心功能之一是自动扩缩容,确保系统稳定与高可用。节点自动扩缩容由调度器和控制器管理器协作完成,依据资源紧张程度动态调整。主要采用HPA、VPA及Cluster Autoscaler实现。Pod自动扩缩容通常通过HPA控制器按需调整副本数量。例如,设置HPA控制器监视特定部署的CPU使用率,在80%阈值上下自动增减副本数。合理利用这些工具可显著提升系统性能。
119 2
|
4月前
|
存储 Kubernetes API
|
4月前
|
存储 Kubernetes 调度
通过重新构建Kubernetes来实现更具弹性的容器编排系统
通过重新构建Kubernetes来实现更具弹性的容器编排系统
67 8
|
5月前
|
Kubernetes 持续交付 Python
Kubernetes(通常简称为K8s)是一个开源的容器编排系统,用于自动化部署、扩展和管理容器化应用程序。
Kubernetes(通常简称为K8s)是一个开源的容器编排系统,用于自动化部署、扩展和管理容器化应用程序。