Erreichen der kontinuierlichen Container-Konformität SP 800–190 mit Scribe Security

Co-geschrieben mit Viktor Kartaschow.

Der NIST SP 800–190-Standard bietet strukturierte Richtlinien zur Sicherung containerisierter Anwendungen und deckt dabei alles ab, von der Image-Herkunft bis hin zu Laufzeitkontrollen. Da die Containernutzung in dynamischen DevOps-Umgebungen explosionsartig zunimmt, ist die Erfüllung dieser Anforderungen unerlässlich und zugleich eine Herausforderung.

Aber SP 800–190 ist hier nur ein Anwendungsfall. Die größere Idee ist, kontinuierliche, signierte Policy-as-Code-Validierung in Ihre CI/CD-Pipelines, unabhängig vom Sicherheitsframework.

Die meisten Teams behandeln Compliance immer noch als eine letzte Phase – verzögert, instabil und losgelöst von der Entwicklung. Doch was wäre, wenn jedes Bild, jeder PR und jedes Tag kontinuierlich anhand der Sicherheitsrichtlinien überprüft würde?

Die Herausforderung: Konsistente Compliance in einem schnellen SDLC

Die Herausforderung besteht darin, dass SP 800–190 sagt Ihnen, was Sie sichern müssen  — es bietet klare Anleitungen und Kategorien wie Image-Gegenmaßnahmen, die eigentliche Hürde ist wie diese hochrangigen Richtlinien in konkrete, umsetzbare Kontrollen umgesetzt werden können, wie man sie konsequent durchsetzt, und wie Sie das beweisen können. Genau hier liegt der Punkt unsere kontinuierlichen SDLC-Governance- und Compliance-Tools kommt ins Spiel und verwandelt die Einhaltung von Vorschriften von einer manuellen Belastung in einen automatisierten, überprüfbaren Prozess.

Anstatt sich auf instabile, einmalige Skripte oder späte Scans nach der Bereitstellung zu verlassen, Ansatz des Schreibers bringt strukturierte, durchsetzbare Sicherheitskontrollen direkt in den Kern Ihres Software Development Lifecycle (SDLC). Wir tun dies nahtlos mit GitHub Actions, Valint und Sigstore, sodass Sie:

• Definieren Sie Ihre Sicherheitsrichtlinien als Code, sie beherrschbar zu machen.
• Automatisieren Sie Prüfungen direkt in Ihren Entwicklungs-Workflows.
• Alle Sicherheitsnachweise kryptografisch signieren und sicher speichern.
• Erreichen Sie vollständige Rückverfolgbarkeit und Überprüfbarkeit für jedes Artefakt, vom Pull Request bis zur Produktion.

Der Kern unserer Lösung: Policy as Code mit Valint

Im Kern von Die leistungsstarke Lösung von Scribe liegt eine deklarative Initiativendatei. Diese bildet abstrakte Richtlinien und Kontrollen von SP 800–190 (wie die in „Image Countermeasures“) in konkrete, ausführbare Regeln ab. Hier werden Ihre Sicherheitsrichtlinien tatsächlich in Code umgesetzt, der durch ValintUm tiefer zu erfahren, wie Policy-Engines wie Valint Ordnung in Ihre Compliance-Bemühungen bringen, empfehlen wir Ihnen, unseren vorherigen Beitrag zu lesen. „Vom Chaos zur Klarheit: Navigieren durch die Policy Engine zur Einhaltung von Vorschriften“. 

Ejemplo: So werden spezifische Bildgegenmaßnahmen innerhalb Ihrer Valint-Initiative definiert:

Kontrollen:

 – Name: „4.1 Bild-Gegenmaßnahmen“

   Regeln:

     – verwendet: sarif/trivy/blocklist-cve@v2/rules

       Name: „4.1.1 Schwerwiegende Sicherheitslücken“

     – verwendet: images/verify-labels@v2/rules

       Name: „4.1.3 Erforderliche Bildbeschriftungen“

     – verwendet: images/allowed-base-image@v2/rules

       Name: „4.1.5 Genehmigte Basisbilder“

Die Flexibilität ist enorm: Während unsere Demo sp-800-190.yaml, Valint ermöglicht es Ihnen, es einfach zu ersetzen, anzupassen oder Ihre eigenen Initiativen hinzuzufügen, unabhängig davon, ob es auf CIS-Benchmarks, internen Organisationsrichtlinien oder vollständig maßgeschneiderten Richtlinien basiert. 

Nähere Informationen zu Definition und Nutzung spezifischer Initiativen, bitte beziehen Sie sich auf unsere Dokumentation. Entdecken Sie auch unsere Leitfaden auf hoher Ebene zur Durchsetzung von SDLC-Initiativen hier.

Die Geschichte eines Entwicklers: Echtzeit-Compliance in Pull Requests

Wie sieht das für Entwickler aus? Sobald ein Pull Request ist geöffnet, wird die CI-Pipeline automatisch aktiv und orchestriert eine Reihe wichtiger Sicherheitsprüfungen.

Zuerst wird der Bauphase beginnt, wo das Image erstellt und wichtige Metadaten direkt aus dem Dockerfile gesammelt werden. Anschließend wird ein SBOM-Generierung Schritt erstellt eine detaillierte CycloneDX SBOM, wobei Pakete und Basisbildebenen sorgfältig nachverfolgt werden, um vollständige Transparenz zu gewährleisten. Als Nächstes Schwachstellenüberprüfungen wird durchgeführt, um einen umfassenden Bericht im SARIF-Format zu erstellen. Schließlich Politikbewertung steht im Mittelpunkt als Valint prüft alle gesammelten Beweise gründlich anhand Ihrer vordefinierten SP 800–190-Initiative.

Sollten Verstöße aufgedeckt werden – beispielsweise ein CVE mit einem Schweregrad über 8.5 –, ist Ihre Pipeline so konfiguriert, dass der PR entweder direkt blockiert oder eine deutliche Warnung ausgegeben wird. Und das Beste daran? Eine kurze Zusammenfassung der Ergebnisse ist direkt an die GitHub-PR-Ansicht angehängt. Bereitstellung von sofortigem, umsetzbarem Feedback für EntwicklerDadurch sind sie in der Lage, Sicherheitsbedenken proaktiv direkt am Arbeitsplatz anzugehen.

Scribe-Benutzeroberfläche: Ansicht „Richtlinienverstöße löschen“

Beispiel: Zusammenfassung des GitHub PR-Checks: Sofortiges Feedback von Entwicklern

– Name: Beweise sammeln und Richtlinien bewerten

 verwendet: scribe-security/action-verify@master

 mit:

   Ziel: meine_Firma/mein-Bild:v1.0.0

   bom: true # SBOM für Ziel generieren

   Eingabe: trivy:trivy-report.json # Beweise für den Trivy-Bericht generieren

   Basis-Image: Dockerfile # Basis-Image-Beweise generieren

   Initiative: sp-800-190@v2 # Initiative bewerten

   Eingabeformat: Attest

   Format: Bescheinigung

Artefakte wie SBOMs, Scan-Ergebnisse und die Richtlinienausgabe können natürlich optional als Pipeline-Artefakte für eine noch gründlichere Prüfung oder Compliance-Archivierung beibehalten werden.

Das Release Gate: Überprüfbare Compliance durch unterzeichnete Nachweise

Nach dem erfolgreichen Mergen eines Pull Requests geht die Reise weiter zum Releasepipeline, wo das Image einer letzten, kritischen Validierung anhand der gleichen SP 800–190-Regeln unterzogen wird. Dies ist nicht nur eine Wiederholung; es ist das Tor zur Bereitstellung. In dieser entscheidenden Phase ScribeHub-Plattform konzentriert sich auf das Schaffen überprüfbarer Nachweis der Konformität, wodurch sichergestellt wird, dass jede Veröffentlichung nicht nur sicher, sondern durch umfassende, unterzeichnete Nachweise auch nachweislich vertrauenswürdig ist.

Ob bestanden oder nicht bestanden, ScribeHub gewährleistet vollständige Transparenz und Rückverfolgbarkeit. Entscheidend ist, Alle Beweise – einschließlich des detaillierten Richtlinienergebnisses – werden in einen sicheren Speicher hochgeladen und kryptografisch signiert (z. B. über Sigstore, x.509 oder KMS). Dadurch wird sichergestellt, dass jedes Ergebnis unveränderlich und überprüfbar ist und eine vollständige Aufzeichnung für die Prüfung und das Vertrauen bereitgestellt wird, unabhängig davon, was die Auswertung ergibt.

Diese unterzeichneten SARIF-Richtlinienergebnisse, SBOMs und Scan-Ausgaben sind von unschätzbarem Wert für:

• Robuste Prüfpfade: Bereitstellung eines unwiderlegbaren Nachweises der Konformität.
• Zuverlässige Freigabebescheinigung: Bestätigen Sie die Sicherheitslage Ihrer bereitgestellten Artefakte.
• Nahtlose Integration der Kubernetes-Zulassungskontrolle: Aktivieren Sie automatisierte Gates, bevor Bilder in Ihren Clustern ausgeführt werden.

In der ScribeHub-Benutzeroberfläche werden alle Verstöße deutlich gekennzeichnet, und jedes unterzeichnete Beweisstück ist präzise nachvollziehbar und direkt mit dem Ergebnis der Initiative verknüpft, aus der es hervorgegangen ist. Dies bietet beispiellose Klarheit und Vertrauen in die Sicherheit Ihrer Lieferkette.

Aggregierte Schwachstellen aus SBOM und Scan

Scribe-Benutzeroberfläche: Nachvollziehbare und signierte Beweise

Sehen Sie unsere Lösung in Aktion: Die Demo-Pipeline

Sie haben gelesen, wie unsere Tools zur kontinuierlichen Compliance erweckt SP 800–190 zum Leben. Überzeugen Sie sich selbst! Wir haben eine praktische Demo-Repository das zeigt genau, wie Valint und Sigstore arbeiten sowohl in PR- als auch in Release-Workflows zusammen.

Entdecken Sie hier den Demo-Code: Scribe-Public/Demo-Pipeline

Dieses Repository enthält zwei wesentliche GitHub Actions-Workflows, sp800-190-policy-pr.yml und sp800-190-policy-release.yml, die das unmittelbare Feedback für Entwickler und den kryptografisch signierten Nachweis für die Veröffentlichung visuell demonstrieren, wie in diesem Beitrag beschrieben.

Ähnliche Artikel

Parallele Forschung zu GitHub-Schwachstellen

Letzten Monat bin ich auf diesen Artikel von Dark Reading gestoßen. Es kam mir sehr bekannt vor. Es dauerte nicht lange, bis mir klar wurde, dass die im Artikel besprochene GitHub-Schwachstelle Cross-Workflow-Artefakt-Poisoning eine verblüffende Ähnlichkeit mit der GitHub-Schwachstelle Cross-Workflow-Cache-Poisoning aufwies, über die wir im März 2022 berichteten. GitHub-Workflows – Eine Schlüsselkomponente von GitHub […]

Sichern Sie Ihre Software-Lieferkette mit SBOM und Feeds Analytics

„Softwareanbieter müssen haftbar gemacht werden, wenn sie ihrer Sorgfaltspflicht gegenüber Verbrauchern, Unternehmen oder Anbietern kritischer Infrastruktur nicht nachkommen“ (das Weiße Haus). Heutzutage wird von jedem Softwareanbieter erwartet, dass er durch vertragliche Vereinbarungen, Software-Releases und -Updates, Benachrichtigungen und […] eine größere Verantwortung für die Gewährleistung der Integrität und Sicherheit von Software übernimmt.

Sicherheit in der Software-Lieferkette: Die 7 wichtigsten Best Practices, die Sie kennen müssen

In der heutigen vernetzten digitalen Landschaft ist die Gewährleistung der Sicherheit Ihrer Software-Lieferkette von größter Bedeutung. Die Software-Lieferkette umfasst alle Prozesse und Komponenten, die mit der Entwicklung, Erstellung und Bereitstellung von Software verbunden sind, und ist zunehmend Ziel von Cyberangriffen. Da ich mit zahlreichen Unternehmen zusammengearbeitet und umfangreiche Branchenerfahrung genutzt habe, kann ich einige der […]