के साथ सह-लिखित विक्टर कार्तशोव.
NIST SP 800–190 मानक सुरक्षित कंटेनरीकृत अनुप्रयोगों के लिए संरचित दिशा-निर्देश प्रदान करता है, जिसमें छवि उद्गम से लेकर रनटाइम नियंत्रण तक सब कुछ शामिल है। जैसे-जैसे कंटेनर का उपयोग तेज़ गति वाले DevOps वातावरण में बढ़ता है, इन आवश्यकताओं के साथ तालमेल बिठाना आवश्यक और चुनौतीपूर्ण दोनों हो जाता है।
लेकिन एसपी 800-190 यहां सिर्फ एक प्रयोग का मामला है। बड़ा विचार लाना है निरंतर, हस्ताक्षरित, नीति-कोड सत्यापन सुरक्षा ढांचे की परवाह किए बिना, आपके CI/CD पाइपलाइनों में।
अधिकांश टीमें अभी भी अनुपालन को अंतिम चरण की गतिविधि मानती हैं - विलंबित, भंगुर और विकास से अलग। लेकिन क्या होगा अगर हर छवि, हर पीआर, हर टैग को सुरक्षा नीतियों के खिलाफ लगातार सत्यापित किया जाए?
चुनौती: तीव्र SDLC में सुसंगत अनुपालन
चुनौती यह है कि एसपी 800-190 आपको बताता है कि क्या सुरक्षित करना है — यह स्पष्ट मार्गदर्शन और छवि प्रतिवाद जैसी श्रेणियां प्रदान करता है, वास्तविक बाधा है उन उच्च-स्तरीय दिशा-निर्देशों को ठोस, कार्रवाई योग्य जाँच में कैसे बदला जाए, उन्हें लगातार कैसे लागू किया जाए, और यह साबित कैसे करें कि आपने ऐसा किया। यह ठीक वही जगह है जहाँ हमारा सतत SDLC शासन और अनुपालन टूलींग अनुपालन को मैन्युअल बोझ से स्वचालित, सत्यापन योग्य प्रक्रिया में परिवर्तित किया जा रहा है।
भंगुर, एकबारगी स्क्रिप्ट या अंतिम चरण के बाद की तैनाती स्कैन पर निर्भर रहने के बजाय, लेखक का दृष्टिकोण संरचित, लागू करने योग्य सुरक्षा नियंत्रण सीधे आपके सॉफ़्टवेयर डेवलपमेंट लाइफ़साइकिल (SDLC) के केंद्र में लाता है। हम इसका उपयोग करके सहजता से ऐसा करते हैं GitHub Actions, Valint, और Sigstore, जिससे आप:
- अपनी सुरक्षा नीतियों को कोड के रूप में परिभाषित करें, उन्हें प्रबंधनीय बनाना।
- स्वचालित जांच सीधे आपके विकास वर्कफ़्लो के भीतर।
- सभी सुरक्षा साक्ष्यों पर क्रिप्टोग्राफिक रूप से हस्ताक्षर करें और उन्हें सुरक्षित रूप से संग्रहीत करें।
- पूर्ण पता लगाने योग्यता और लेखापरीक्षा योग्यता प्राप्त करें पुल अनुरोध से लेकर उत्पादन तक प्रत्येक आर्टिफैक्ट के लिए।
हमारे समाधान का मूल: वैलिंट के साथ कोड के रूप में नीति
के मूल में स्क्राइब का शक्तिशाली समाधान एक घोषणात्मक पहल फ़ाइल है। यह अमूर्त SP 800–190 दिशा-निर्देशों और नियंत्रणों (जैसे “इमेज काउंटरमेजर्स” में) को ठोस, निष्पादन योग्य नियमों में खूबसूरती से मैप करता है। यह वह जगह है जहाँ आपकी सुरक्षा नीतियाँ वास्तव में कोड बन जाती हैं, जिन्हें लागू किया जाता है वैलिंटवैलिंट जैसे नीति इंजन आपके अनुपालन प्रयासों में कैसे व्यवस्था लाते हैं, इस बारे में अधिक जानकारी के लिए हम आपको हमारी पिछली पोस्ट पढ़ने के लिए प्रोत्साहित करते हैं, “अराजकता से स्पष्टता तक: अनुपालन के लिए नीति इंजन का संचालन”.
उदाहरण: आपकी वैलिंट पहल के अंतर्गत विशिष्ट छवि प्रतिउपायों को इस प्रकार परिभाषित किया गया है:
नियंत्रण:
– नाम: “4.1 छवि प्रतिउपाय”
नियम:
– उपयोग: sarif/trivy/blocklist-cve@v2/rules
नाम: “4.1.1 हाई-प्रोफाइल कमज़ोरियाँ”
– उपयोग: images/verify-labels@v2/rules
नाम: “4.1.3 आवश्यक छवि लेबल”
– उपयोग: छवियाँ/allowed-base-image@v2/rules
नाम: “4.1.5 स्वीकृत आधार छवियाँ”
यहाँ लचीलापन बहुत अधिक है: जबकि हमारा डेमो उपयोग करता है sp-800-190.yaml, वैलिंट आपको इसे आसानी से बदलने, इसे अनुकूलित करने, या अपनी खुद की पहल जोड़ने की अनुमति देता हैचाहे वह सीआईएस बेंचमार्क, आंतरिक संगठनात्मक दिशा-निर्देश, या पूरी तरह से विशिष्ट नीतियों पर आधारित हो।
अधिक विस्तृत जानकारी के लिए विशिष्ट पहलों को परिभाषित करना और उनका उपयोग करना, कृपया देखें हमारे प्रलेखन. आप हमारे का भी पता लगा सकते हैं एसडीएलसी पहलों को लागू करने पर उच्च स्तरीय मार्गदर्शिका यहाँ उत्पन्न करें.
एक डेवलपर की कहानी: पुल अनुरोधों में वास्तविक समय अनुपालन
तो, डेवलपर्स के लिए यह कैसा दिखता है? पुल अनुरोध खोला गया है, सीआई पाइपलाइन स्वचालित रूप से कार्रवाई में आ जाती है, तथा महत्वपूर्ण सुरक्षा जांचों की एक श्रृंखला का संचालन करती है।
सबसे पहले, निर्माण चरण शुरू होता है, जहाँ छवि बनाई जाती है और महत्वपूर्ण मेटाडेटा सीधे Dockerfile से एकत्र किया जाता है। इसके बाद, एसबीओएम पीढ़ी चरण एक विस्तृत बनाता है साइक्लोनडीएक्स एसबीओएम, पूर्ण पारदर्शिता के लिए पैकेज और बेस इमेज परतों का सावधानीपूर्वक अनुरेखण करना। इसके बाद, भेद्यता स्कैन एक व्यापक SARIF-स्वरूपित रिपोर्ट तैयार करने के लिए किया जाता है। अंत में, नीति मूल्यांकन केंद्र स्तर पर ले जाता है वैलिंट आपके पूर्वनिर्धारित एसपी 800-190 पहल के विरुद्ध सभी संचित साक्ष्यों की कठोरता से जांच करता है।
यदि कोई उल्लंघन पाया जाता है - शायद 8.5 से अधिक गंभीरता वाला CVE - तो आपकी पाइपलाइन को या तो PR को पूरी तरह से ब्लॉक करने या एक प्रमुख चेतावनी जारी करने के लिए कॉन्फ़िगर किया गया है। सबसे अच्छी बात? निष्कर्षों का एक संक्षिप्त सारांश सीधे GitHub PR दृश्य से जुड़ा हुआ है, डेवलपर्स को तत्काल, कार्रवाई योग्य प्रतिक्रिया प्रदान करनाइससे उन्हें सुरक्षा संबंधी चिंताओं का सक्रियतापूर्वक समाधान करने का अधिकार मिलता है, वहीं जहां वे काम करते हैं।

स्क्राइब यूआई: नीति उल्लंघन साफ़ करें दृश्य
उदाहरण: GitHub PR चेक सारांश: तत्काल डेवलपर प्रतिक्रिया
– नाम: साक्ष्य एकत्र करें और नीति का मूल्यांकन करें
उपयोग: scribe-security/action-verify@master
संग:
लक्ष्य: my_company/my-image:v1.0.0
bom: true # लक्ष्य के लिए SBOM उत्पन्न करें
इनपुट: ट्रिवी: ट्रिवी-रिपोर्ट.json # ट्रिवी रिपोर्ट के लिए साक्ष्य उत्पन्न करें
आधार-छवि: Dockerfile # आधार छवि साक्ष्य उत्पन्न करें
पहल: sp-800-190@v2 # पहल का मूल्यांकन करें
इनपुट-प्रारूप: प्रमाणित करें
प्रारूप: प्रमाणित करें
एसबीओएम, स्कैन परिणाम और नीति आउटपुट जैसी कलाकृतियों को, निश्चित रूप से, और भी गहन निरीक्षण या अनुपालन संग्रह के लिए पाइपलाइन कलाकृतियों के रूप में बनाए रखा जा सकता है।
रिलीज़ गेट: हस्ताक्षरित साक्ष्य के माध्यम से सत्यापन योग्य अनुपालन
पुल अनुरोध के सफलतापूर्वक विलय के बाद, यात्रा आगे बढ़ती है रिलीज पाइपलाइन, जहां छवि उसी SP 800–190 नियमों के विरुद्ध अंतिम, महत्वपूर्ण सत्यापन से गुजरती है। यह केवल पुनः चलाने की प्रक्रिया नहीं है; यह तैनाती का द्वार है। इस महत्वपूर्ण चरण में, स्क्राइबहब प्लेटफॉर्म बनाने पर ध्यान केंद्रित करता है अनुपालन का सत्यापन योग्य प्रमाणयह सुनिश्चित करना कि प्रत्येक रिलीज न केवल सुरक्षित हो, बल्कि व्यापक, हस्ताक्षरित साक्ष्य के माध्यम से विश्वसनीय भी हो।
चाहे सफल हो या असफल, स्क्राइबहब पूर्ण पारदर्शिता और पता लगाने योग्यता बनाए रखता है। महत्वपूर्ण बात है, सभी साक्ष्य - जिसमें विस्तृत नीति परिणाम भी शामिल है - को एक सुरक्षित स्टोर में अपलोड किया जाता है और क्रिप्टोग्राफ़िक रूप से हस्ताक्षरित किया जाता है (उदाहरण के लिए, सिगस्टोर, x.509, या KMS के माध्यम से)। इससे यह सुनिश्चित होता है कि प्रत्येक परिणाम अपरिवर्तनीय और सत्यापन योग्य है, तथा इससे लेखापरीक्षा और विश्वास के लिए पूर्ण रिकॉर्ड उपलब्ध होता है, भले ही मूल्यांकन में कुछ भी दर्शाया गया हो।
ये हस्ताक्षरित SARIF नीति परिणाम, SBOM और स्कैन आउटपुट निम्नलिखित के लिए अमूल्य परिसंपत्ति बन जाते हैं:
- मजबूत ऑडिट ट्रेल्स: अनुपालन का निर्विवाद प्रमाण प्रदान करना।
- विश्वसनीय रिलीज़ सत्यापन: आपके तैनात आर्टिफैक्ट्स की सुरक्षा स्थिति की पुष्टि करना।
- निर्बाध कुबेरनेट्स प्रवेश नियंत्रण एकीकरण: आपके क्लस्टरों में छवियाँ चलाने से पहले स्वचालित गेट सक्षम करना।
स्क्राइबहब यूआई के भीतर, किसी भी उल्लंघन को स्पष्ट रूप से चिह्नित किया जाता है, और हस्ताक्षरित साक्ष्य का प्रत्येक टुकड़ा सावधानीपूर्वक पता लगाने योग्य होता है, जो सीधे उस पहल के परिणाम से जुड़ा होता है जिसने इसे उत्पन्न किया। यह आपकी आपूर्ति श्रृंखला सुरक्षा में अद्वितीय स्पष्टता और विश्वास प्रदान करता है।

एसबीओएम और स्कैन से एकत्रित कमजोरियां

स्क्राइब यूआई: पता लगाने योग्य और हस्ताक्षरित साक्ष्य
हमारे समाधान को क्रियान्वित होते हुए देखें: डेमो पाइपलाइन
आपने पढ़ा है कि कैसे हमारा सतत अनुपालन टूलींग SP 800–190 को जीवंत बनाता है। अब, इसे खुद ही देखें! हमने एक हैंड्स-ऑन बनाया है डेमो रिपॉजिटरी जो यह दर्शाता है कि वास्तव में वैलिंट और सिगस्टोर पीआर और रिलीज वर्कफ़्लो दोनों में एक साथ काम करें।
डेमो कोड यहां देखें: स्क्राइब-पब्लिक/डेमो-पाइपलाइन
इस रिपॉजिटरी में दो आवश्यक GitHub Actions वर्कफ़्लो शामिल हैं, sp800-190-policy-pr.yml
और sp800-190-policy-release.yml
, जो डेवलपर्स के लिए तत्काल प्रतिक्रिया और रिलीज के लिए क्रिप्टोग्राफिक रूप से हस्ताक्षरित साक्ष्य को दृश्य रूप से प्रदर्शित करता है, जैसा कि इस पोस्ट में वर्णित है।
यह सामग्री आपके लिए स्क्राइब सिक्योरिटी द्वारा लाई गई है, जो एक अग्रणी एंड-टू-एंड सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा समाधान प्रदाता है - जो संपूर्ण सॉफ्टवेयर आपूर्ति श्रृंखलाओं में कोड कलाकृतियों और कोड विकास और वितरण प्रक्रियाओं के लिए अत्याधुनिक सुरक्षा प्रदान करता है। और अधिक जानें.