Co-geschrieben mit Viktor Kartaschow.
Der NIST SP 800–190-Standard bietet strukturierte Richtlinien zur Sicherung containerisierter Anwendungen und deckt dabei alles ab, von der Image-Herkunft bis hin zu Laufzeitkontrollen. Da die Containernutzung in dynamischen DevOps-Umgebungen explosionsartig zunimmt, ist die Erfüllung dieser Anforderungen unerlässlich und zugleich eine Herausforderung.
Aber SP 800–190 ist hier nur ein Anwendungsfall. Die größere Idee ist, kontinuierliche, signierte Policy-as-Code-Validierung in Ihre CI/CD-Pipelines, unabhängig vom Sicherheitsframework.
Die meisten Teams behandeln Compliance immer noch als eine letzte Phase – verzögert, instabil und losgelöst von der Entwicklung. Doch was wäre, wenn jedes Bild, jeder PR und jedes Tag kontinuierlich anhand der Sicherheitsrichtlinien überprüft würde?
Die Herausforderung: Konsistente Compliance in einem schnellen SDLC
Die Herausforderung besteht darin, dass SP 800–190 sagt Ihnen, was Sie sichern müssen — es bietet klare Anleitungen und Kategorien wie Image-Gegenmaßnahmen, die eigentliche Hürde ist wie diese hochrangigen Richtlinien in konkrete, umsetzbare Kontrollen umgesetzt werden können, wie man sie konsequent durchsetzt, und wie Sie das beweisen können. Genau hier liegt der Punkt unsere kontinuierlichen SDLC-Governance- und Compliance-Tools kommt ins Spiel und verwandelt die Einhaltung von Vorschriften von einer manuellen Belastung in einen automatisierten, überprüfbaren Prozess.
Anstatt sich auf instabile, einmalige Skripte oder späte Scans nach der Bereitstellung zu verlassen, Ansatz des Schreibers bringt strukturierte, durchsetzbare Sicherheitskontrollen direkt in den Kern Ihres Software Development Lifecycle (SDLC). Wir tun dies nahtlos mit GitHub Actions, Valint und Sigstore, sodass Sie:
- Definieren Sie Ihre Sicherheitsrichtlinien als Code, sie beherrschbar zu machen.
- Automatisieren Sie Prüfungen direkt in Ihren Entwicklungs-Workflows.
- Alle Sicherheitsnachweise kryptografisch signieren und sicher speichern.
- Erreichen Sie vollständige Rückverfolgbarkeit und Überprüfbarkeit für jedes Artefakt, vom Pull Request bis zur Produktion.
Der Kern unserer Lösung: Policy as Code mit Valint
Im Kern von Die leistungsstarke Lösung von Scribe liegt eine deklarative Initiativendatei. Diese bildet abstrakte Richtlinien und Kontrollen von SP 800–190 (wie die in „Image Countermeasures“) in konkrete, ausführbare Regeln ab. Hier werden Ihre Sicherheitsrichtlinien tatsächlich in Code umgesetzt, der durch ValintUm tiefer zu erfahren, wie Policy-Engines wie Valint Ordnung in Ihre Compliance-Bemühungen bringen, empfehlen wir Ihnen, unseren vorherigen Beitrag zu lesen. „Vom Chaos zur Klarheit: Navigieren durch die Policy Engine zur Einhaltung von Vorschriften“.
Ejemplo: So werden spezifische Bildgegenmaßnahmen innerhalb Ihrer Valint-Initiative definiert:
Kontrollen:
– Name: „4.1 Bild-Gegenmaßnahmen“
Regeln:
– verwendet: sarif/trivy/blocklist-cve@v2/rules
Name: „4.1.1 Schwerwiegende Sicherheitslücken“
– verwendet: images/verify-labels@v2/rules
Name: „4.1.3 Erforderliche Bildbeschriftungen“
– verwendet: images/allowed-base-image@v2/rules
Name: „4.1.5 Genehmigte Basisbilder“
Die Flexibilität ist enorm: Während unsere Demo sp-800-190.yaml, Valint ermöglicht es Ihnen, es einfach zu ersetzen, anzupassen oder Ihre eigenen Initiativen hinzuzufügen, unabhängig davon, ob es auf CIS-Benchmarks, internen Organisationsrichtlinien oder vollständig maßgeschneiderten Richtlinien basiert.
Nähere Informationen zu Definition und Nutzung spezifischer Initiativen, bitte beziehen Sie sich auf unsere Dokumentation. Entdecken Sie auch unsere Leitfaden auf hoher Ebene zur Durchsetzung von SDLC-Initiativen hier.
Die Geschichte eines Entwicklers: Echtzeit-Compliance in Pull Requests
Wie sieht das für Entwickler aus? Sobald ein Pull Request ist geöffnet, wird die CI-Pipeline automatisch aktiv und orchestriert eine Reihe wichtiger Sicherheitsprüfungen.
Zuerst wird der Bauphase beginnt, wo das Image erstellt und wichtige Metadaten direkt aus dem Dockerfile gesammelt werden. Anschließend wird ein SBOM-Generierung Schritt erstellt eine detaillierte CycloneDX SBOM, wobei Pakete und Basisbildebenen sorgfältig nachverfolgt werden, um vollständige Transparenz zu gewährleisten. Als Nächstes Schwachstellenüberprüfungen wird durchgeführt, um einen umfassenden Bericht im SARIF-Format zu erstellen. Schließlich Politikbewertung steht im Mittelpunkt als Valint prüft alle gesammelten Beweise gründlich anhand Ihrer vordefinierten SP 800–190-Initiative.
Sollten Verstöße aufgedeckt werden – beispielsweise ein CVE mit einem Schweregrad über 8.5 –, ist Ihre Pipeline so konfiguriert, dass der PR entweder direkt blockiert oder eine deutliche Warnung ausgegeben wird. Und das Beste daran? Eine kurze Zusammenfassung der Ergebnisse ist direkt an die GitHub-PR-Ansicht angehängt. Bereitstellung von sofortigem, umsetzbarem Feedback für EntwicklerDadurch sind sie in der Lage, Sicherheitsbedenken proaktiv direkt am Arbeitsplatz anzugehen.

Scribe-Benutzeroberfläche: Ansicht „Richtlinienverstöße löschen“
Beispiel: Zusammenfassung des GitHub PR-Checks: Sofortiges Feedback von Entwicklern
– Name: Beweise sammeln und Richtlinien bewerten
verwendet: scribe-security/action-verify@master
mit:
Ziel: meine_Firma/mein-Bild:v1.0.0
bom: true # SBOM für Ziel generieren
Eingabe: trivy:trivy-report.json # Beweise für den Trivy-Bericht generieren
Basis-Image: Dockerfile # Basis-Image-Beweise generieren
Initiative: sp-800-190@v2 # Initiative bewerten
Eingabeformat: Attest
Format: Bescheinigung
Artefakte wie SBOMs, Scan-Ergebnisse und die Richtlinienausgabe können natürlich optional als Pipeline-Artefakte für eine noch gründlichere Prüfung oder Compliance-Archivierung beibehalten werden.
Das Release Gate: Überprüfbare Compliance durch unterzeichnete Nachweise
Nach dem erfolgreichen Mergen eines Pull Requests geht die Reise weiter zum Releasepipeline, wo das Image einer letzten, kritischen Validierung anhand der gleichen SP 800–190-Regeln unterzogen wird. Dies ist nicht nur eine Wiederholung; es ist das Tor zur Bereitstellung. In dieser entscheidenden Phase ScribeHub-Plattform konzentriert sich auf das Schaffen überprüfbarer Nachweis der Konformität, wodurch sichergestellt wird, dass jede Veröffentlichung nicht nur sicher, sondern durch umfassende, unterzeichnete Nachweise auch nachweislich vertrauenswürdig ist.
Ob bestanden oder nicht bestanden, ScribeHub gewährleistet vollständige Transparenz und Rückverfolgbarkeit. Entscheidend ist, Alle Beweise – einschließlich des detaillierten Richtlinienergebnisses – werden in einen sicheren Speicher hochgeladen und kryptografisch signiert (z. B. über Sigstore, x.509 oder KMS). Dadurch wird sichergestellt, dass jedes Ergebnis unveränderlich und überprüfbar ist und eine vollständige Aufzeichnung für die Prüfung und das Vertrauen bereitgestellt wird, unabhängig davon, was die Auswertung ergibt.
Diese unterzeichneten SARIF-Richtlinienergebnisse, SBOMs und Scan-Ausgaben sind von unschätzbarem Wert für:
- Robuste Prüfpfade: Bereitstellung eines unwiderlegbaren Nachweises der Konformität.
- Zuverlässige Freigabebescheinigung: Bestätigen Sie die Sicherheitslage Ihrer bereitgestellten Artefakte.
- Nahtlose Integration der Kubernetes-Zulassungskontrolle: Aktivieren Sie automatisierte Gates, bevor Bilder in Ihren Clustern ausgeführt werden.
In der ScribeHub-Benutzeroberfläche werden alle Verstöße deutlich gekennzeichnet, und jedes unterzeichnete Beweisstück ist präzise nachvollziehbar und direkt mit dem Ergebnis der Initiative verknüpft, aus der es hervorgegangen ist. Dies bietet beispiellose Klarheit und Vertrauen in die Sicherheit Ihrer Lieferkette.

Aggregierte Schwachstellen aus SBOM und Scan

Scribe-Benutzeroberfläche: Nachvollziehbare und signierte Beweise
Sehen Sie unsere Lösung in Aktion: Die Demo-Pipeline
Sie haben gelesen, wie unsere Tools zur kontinuierlichen Compliance erweckt SP 800–190 zum Leben. Überzeugen Sie sich selbst! Wir haben eine praktische Demo-Repository das zeigt genau, wie Valint und Sigstore arbeiten sowohl in PR- als auch in Release-Workflows zusammen.
Entdecken Sie hier den Demo-Code: Scribe-Public/Demo-Pipeline
Dieses Repository enthält zwei wesentliche GitHub Actions-Workflows, sp800-190-policy-pr.yml
und sp800-190-policy-release.yml
, die das unmittelbare Feedback für Entwickler und den kryptografisch signierten Nachweis für die Veröffentlichung visuell demonstrieren, wie in diesem Beitrag beschrieben.
Diese Inhalte werden Ihnen von Scribe Security zur Verfügung gestellt, einem führenden Anbieter von End-to-End-Sicherheitslösungen für die Software-Lieferkette, der modernste Sicherheit für Code-Artefakte sowie Code-Entwicklungs- und Bereitstellungsprozesse in der gesamten Software-Lieferkette bietet. Weitere Informationen.