Co-écrit avec Viktor Kartachov.
La norme NIST SP 800–190 fournit des directives structurées pour sécuriser les applications conteneurisées, couvrant tous les aspects, de la provenance des images aux contrôles d'exécution. Face à l'essor de l'utilisation des conteneurs dans les environnements DevOps en constante évolution, se conformer à ces exigences devient à la fois essentiel et complexe.
Mais le SP 800–190 n'est ici qu'un cas d'utilisation. L'idée principale est d'apporter validation continue, signée et de politique en tant que code dans vos pipelines CI/CD, quel que soit le cadre de sécurité.
La plupart des équipes considèrent encore la conformité comme une étape finale : retardée, fragile et dissociée du développement. Mais que se passerait-il si chaque image, chaque PR, chaque balise était continuellement validée par rapport aux politiques de sécurité ?
Le défi : une conformité constante dans un SDLC rapide
Le défi est que, bien que SP 800–190 vous indique ce qu'il faut sécuriser — il fournit des conseils clairs et des catégories telles que les contre-mesures d'image, le véritable obstacle est comment traduire ces directives de haut niveau en contrôles concrets et exploitables, comment les appliquer de manière cohérente, et comment prouver que vous l'avez fait. C'est précisément là que nos outils continus de gouvernance et de conformité SDLC intervient, transformant la conformité d'un fardeau manuel en un processus automatisé et vérifiable.
Au lieu de s’appuyer sur des scripts fragiles et ponctuels ou sur des analyses post-déploiement tardives, L'approche du scribe intègre des contrôles de sécurité structurés et applicables directement au cœur de votre cycle de vie de développement logiciel (SDLC). Nous réalisons cela de manière transparente grâce à Actions GitHub, Valint et Sigstore, vous permettant de :
- Définissez vos politiques de sécurité sous forme de code, les rendre gérables.
- Automatiser les contrôles directement dans vos workflows de développement.
- Signez cryptographiquement et stockez en toute sécurité toutes les preuves de sécurité.
- Atteindre une traçabilité et une auditabilité complètes pour chaque artefact, de la Pull Request à la production.
Le cœur de notre solution : la politique en tant que code avec Valint
Au cœur de La solution puissante de Scribe Il s'agit d'un fichier d'initiative déclaratif. Il associe parfaitement les directives et contrôles abstraits SP 800–190 (comme ceux de « Contre-mesures d'image ») à des règles concrètes et exécutables. C'est ici que vos politiques de sécurité deviennent véritablement du code, appliqué par ValentPour une analyse plus approfondie de la manière dont les moteurs de politique comme Valint mettent de l'ordre dans vos efforts de conformité, nous vous encourageons à lire notre article précédent, « Du chaos à la clarté : naviguer dans le moteur de politiques pour la conformité ».
Mise en situation : Voici comment les contre-mesures d'image spécifiques sont définies dans votre initiative Valint :
contrôles:
– nom : « 4.1 CONTRE-MESURES D’IMAGE »
règles:
– utilise : sarif/trivy/blocklist-cve@v2/rules
nom : « 4.1.1 Vulnérabilités de haut niveau »
– utilise : images/verify-labels@v2/rules
nom : « 4.1.3 Étiquettes d’image requises »
– utilise : images/allowed-base-image@v2/rules
nom : « 4.1.5 Images de base approuvées »
La flexibilité ici est immense : alors que notre démo utilise sp-800-190.yaml, Valint vous permet de le remplacer facilement, de le personnaliser ou d'ajouter vos propres initiatives, qu'il soit basé sur des critères de référence CIS, des directives organisationnelles internes ou des politiques entièrement sur mesure.
Pour plus d'informations sur définir et utiliser des initiatives spécifiques, prière de se référer à notre documentation. Vous pouvez également découvrir notre guide de haut niveau sur la mise en œuvre des initiatives SDLC ici.
L'histoire d'un développeur : la conformité en temps réel dans les demandes d'extraction
Alors, à quoi cela ressemble-t-il pour les développeurs ? Dès qu'un La demande d'extraction est ouverte, le pipeline CI entre automatiquement en action, orchestrant une série de contrôles de sécurité vitaux.
La première, la Phase de construction commence, où l'image est construite et les métadonnées cruciales sont collectées directement depuis le Dockerfile. Ensuite, un Génération SBOM étape crée un détail CycloneDX SBOM, traçant méticuleusement les packages et les calques d'images de base pour une transparence totale. Ensuite, un Analyse de vulnérabilité est réalisée pour produire un rapport complet au format SARIF. Enfin, Évaluation de la politique occupe le devant de la scène alors que Valent vérifie rigoureusement toutes les preuves accumulées par rapport à votre initiative SP 800–190 prédéfinie.
Si des violations sont détectées (par exemple, une CVE d'une gravité supérieure à 8.5), votre pipeline est configuré pour bloquer la demande de publication ou émettre un avertissement visible. Le plus intéressant ? Un résumé concis des résultats est joint directement à la vue GitHub de la demande de publication. fournir aux développeurs des commentaires immédiats et exploitablesCela leur permet de répondre aux problèmes de sécurité de manière proactive, là où ils travaillent.
Interface utilisateur Scribe : Effacer la vue des violations de politique
Exemple: Résumé de la vérification des relations publiques sur GitHub : commentaires immédiats des développeurs
– nom : Recueillir des preuves et évaluer les politiques
utilisations : scribe-security/action-verify@master
avec:
cible : mon_entreprise/mon-image:v1.0.0
bom : true # Générer le SBOM pour la cible
entrée : trivy:trivy-report.json # Générer des preuves pour le rapport trivy
base-image : Dockerfile # Générer une preuve d'image de base
initiative : sp-800-190@v2 # Évaluer l'initiative
format d'entrée : attester
format : attester
Les artefacts tels que les SBOM, les résultats d'analyse et la sortie de la politique peuvent, bien entendu, être éventuellement conservés en tant qu'artefacts de pipeline pour une inspection encore plus approfondie ou un archivage de conformité.
The Release Gate : conformité vérifiable grâce à des preuves signées
Après qu'une Pull Request a été fusionnée avec succès, le voyage continue vers le pipeline de versions, où l'image subit une validation finale et critique selon les mêmes règles SP 800–190. Il ne s'agit pas d'une simple réexécution ; c'est la porte d'entrée du déploiement. À cette étape cruciale, Plateforme ScribeHub se concentre sur la création preuve vérifiable de conformité, garantissant que chaque version est non seulement sécurisée, mais également manifestement fiable grâce à des preuves complètes et signées.
Que ce soit une réussite ou un échec, ScribeHub maintient une transparence et une traçabilité complètes. Crucialement, toutes les preuves, y compris le résultat détaillé de la politique, sont téléchargées dans un magasin sécurisé et signées de manière cryptographique (par exemple, via Sigstore, x.509 ou KMS). Cela garantit que chaque résultat est immuable et vérifiable, fournissant un enregistrement complet pour l’audit et la confiance, peu importe ce que l’évaluation montre.
Ces résultats de politique SARIF signés, SBOM et résultats d'analyse deviennent des atouts inestimables pour :
- Audit : Fournir une preuve indéniable de conformité.
- Attestation de libération fiable : Confirmer la posture de sécurité de vos artefacts déployés.
- Intégrations transparentes du contrôle d'admission Kubernetes : Activation des portes automatisées avant l'exécution des images dans vos clusters.
Dans l'interface utilisateur de ScribeHub, toute violation est clairement signalée et chaque preuve signée est méticuleusement traçable, directement liée au résultat de l'initiative qui l'a produite. Cela offre une clarté et une confiance inégalées quant à la sécurité de votre chaîne d'approvisionnement.
Vulnérabilités agrégées de SBOM et Scan
Interface utilisateur Scribe : preuves traçables et signées
Découvrez notre solution en action : le pipeline de démonstration
Vous avez lu comment nos outils de conformité continue donne vie au SP 800–190. Découvrez-le par vous-même ! Nous avons créé un modèle pratique référentiel de démonstration qui montre exactement comment Valint et Sigstore travailler ensemble dans les flux de travail de relations publiques et de publication.
Explorez le code de démonstration ici : scribe-public/démo-pipeline
Ce référentiel contient deux workflows GitHub Actions essentiels, sp800-190-policy-pr.yml et sp800-190-policy-release.yml, qui démontrent visuellement le retour immédiat pour les développeurs et la preuve signée cryptographiquement pour la publication, comme décrit tout au long de cet article.
Ce contenu vous est proposé par Scribe Security, l'un des principaux fournisseurs de solutions de sécurité de bout en bout pour la chaîne d'approvisionnement logicielle, offrant une sécurité de pointe aux artefacts de code ainsi qu'aux processus de développement et de livraison de code tout au long des chaînes d'approvisionnement logicielles. En savoir plus.
articles similaires
