हमारी ब्लॉग श्रृंखला के दूसरे भाग में आपका फिर से स्वागत है, जहां हम वैलिन्ट की शक्तिशाली क्षमताओं के बारे में गहराई से चर्चा करेंगे। इस लेख में, हम वैलिंट के नीति इंजन और आपकी आपूर्ति श्रृंखला में अनुपालन सुनिश्चित करने में इसकी महत्वपूर्ण भूमिका पर ध्यान केंद्रित करेंगे।
हमारे पिछले ब्लॉग पोस्ट में, हमने इसका एक सिंहावलोकन प्रदान किया था वैलेंट के डिज़ाइन सिद्धांत.
नीति इंजन कैसे काम करता है
वैलेंट का नीति इंजन आपूर्ति श्रृंखला से एकत्र किए गए साक्ष्य के आधार पर सत्यापित नीतियों में व्यवस्थित नियमों के एक सेट पर काम करता है। आइए इसके प्रमुख घटकों को तोड़ें:
सबूत: अपरिवर्तनीय वस्तुएं जिनका नीतियों द्वारा स्वचालित रूप से उपभोग करने का इरादा है। इन ऑब्जेक्ट में नीति प्रवर्तन को सक्षम करने और अनुपालन आवश्यकताओं को पूरा करने के लिए आवश्यक मेटाडेटा शामिल है। साक्ष्य सामग्री में कलाकृतियों, घटनाओं और सेटिंग्स के बारे में मेटाडेटा शामिल है, लेकिन यह वास्तविक रिपोर्ट, कॉन्फ़िगरेशन या स्कैन भी एकत्र कर सकता है। साक्ष्य हस्ताक्षरित और अहस्ताक्षरित दोनों रूपों में आ सकता है। हम इन्टोटो का अनुसरण करने का सुझाव देते हैं सत्यापन विशिष्टता हस्ताक्षरित का उपयोग करना साक्षी और अहस्ताक्षरित प्रारूप, क्रमशः।
- सत्यापन (AKA सत्यापन योग्य हस्ताक्षरित साक्ष्य): किसी विशिष्ट से जुड़े सत्यापन योग्य साक्ष्य पर्यावरणीय संदर्भ, पीकेआई हस्ताक्षरों के कुछ रूपों का उपयोग करके विश्वास व्यक्त करना।
नीतियां: ये उन आवश्यकताओं को परिभाषित करते हैं जिन्हें आपकी आपूर्ति श्रृंखला को पूरा करना होगा, जिसमें सत्यापन, अनुपालन विवरण और साक्ष्य पर अंतिम फैसले जैसे विभिन्न पहलू शामिल हैं। उदाहरण के तौर पर, संगठन के पास "कंटेनर छवि नीति" हो सकती है
नीति नियम: नीतियों में नियम शामिल होते हैं, जिनमें से प्रत्येक एक विशिष्ट अनुपालन जांच का प्रतिनिधित्व करता है। उदाहरणों में हस्ताक्षर और पहचान का सत्यापन, एसबीओएम घटकों का सत्यापन, महत्वपूर्ण कमजोरियों की अनुपस्थिति का सत्यापन शामिल है। पिछले उदाहरण के बाद, "कंटेनर छवि नीति" में निम्नलिखित नियम शामिल हो सकते हैं:
- छवि हस्ताक्षर लागू करें.
- छवि पर चेतावनी दें, विशिष्ट लेबल के साथ शिकायत न करें।
बंडल: नीतियों और नियमों का संग्रह जिन्हें समग्र रूप से आसानी से संदर्भित किया जा सकता है। बंडल नीतियों के सेट को कोड के रूप में प्रबंधित करने और लागू करने के लिए एक मॉड्यूलर और संगठित तरीका प्रदान करते हैं। स्क्राइब डिफॉल्ट पॉलिसी बंडल के अंतर्गत प्रकाशित किया गया है https://github.com/scribe-public/sample-policies, बेझिझक इसे देखें।
वैलेंट के साथ नीतियों का उपयोग करना
वैलेंट लचीलेपन और अनुकूलन विकल्पों की पेशकश करते हुए उपयोगकर्ताओं को सार्वजनिक या निजी रिपॉजिटरी से कोड के रूप में नीतियों का उपभोग करने का अधिकार देता है। आरंभ करने के लिए, बस वैलेंट इंस्टॉल करें और अपनी अनुपालन आवश्यकताओं के अनुसार अपनी नीतियों को परिभाषित करें।
स्थापना: प्रदान की गई स्क्रिप्ट का उपयोग करके वैलेंट को स्थापित करके प्रारंभ करें। अपने टर्मिनल में निम्नलिखित आदेश निष्पादित करें:
curl -sSfL https://get.scribesecurity.com/install.sh | sh -s — -t valint
नीति परिभाषा: इसके बाद, अपने संगठन की अनुपालन आवश्यकताओं के अनुसार अपनी नीतियों को परिभाषित करें। एक YAML फ़ाइल बनाएं, जैसे कि my_policy.yaml
, और अपने इच्छित नियमों को समाहित करने के लिए इसकी संरचना करें। आपकी पॉलिसी फ़ाइल कैसी दिख सकती है इसका एक उदाहरण यहां दिया गया है:
नाम: my_image_policy डिफ़ॉल्ट: साक्ष्य: हस्ताक्षरित: सही नियम: - उपयोग: छवियाँ/ताज़ा-छवि@v1 साथ: अधिकतम_दिन: 100 - उपयोग: छवियाँ/सत्यापित-लेबल-मौजूद@v1 स्तर: चेतावनी इसके साथ: लेबल: # छवि आवश्यक है लेबल किया जाए (Dockerfile LABEL कमांड) - अनुरक्षक # अनुरक्षक लेबल की आवश्यकता है। - org.opencontainers.image.source # आवश्यक छवियों को वहां के स्रोतों के साथ लेबल किया गया है
इस उदाहरण में, हमने एक नीति को परिभाषित किया है जिसका नाम है my_image_policy
, जो अनिवार्य करता है कि साक्ष्य कलाकृतियों पर हस्ताक्षर किए जाने चाहिए और छवियां पिछले 100 दिनों के भीतर बनाई जानी चाहिए। इसके अतिरिक्त, यदि छवियों में विशिष्ट लेबल का अभाव है तो यह एक चेतावनी जारी करता है।
बेझिझक जांच करें अन्य नियम हम लीक से हटकर समर्थन करते हैं।
साक्ष्य निर्माण: अपनी नीतियों का मूल्यांकन करने से पहले, आपको आवश्यक साक्ष्य तैयार करने होंगे। अपनी लक्षित छवि के लिए साक्ष्य बनाने के लिए वैलेंट का उपयोग करें:
valint bom nginx:latest -o attest
यह आदेश इसके लिए साक्ष्य उत्पन्न करता है nginx:latest
छवि, यह सुनिश्चित करना कि इसमें छवि पहचान और निर्माण समय जैसे मेटाडेटा शामिल हैं। डिफ़ॉल्ट रूप से, वैलेंट इसका उपयोग करता है सिगस्टोर साक्ष्य सृजन के लिए हस्ताक्षरकर्ता के रूप में सेवा, जो एक ओआईडीसी पहचान को एक प्रमाण पत्र से जोड़ती है। हालाँकि, वैलेंट भी आपके स्वयं के उपयोग का समर्थन करता है x509 हस्ताक्षर करने के लिए पीकेआई कुंजी और सीए चेन।
हस्ताक्षर करने के लिए बस अपनी पसंद का ओआईडीसी पहचानकर्ता चुनें।
अंत में, आप इसकी अखंडता और विश्वसनीयता सुनिश्चित करने के लिए साक्ष्य निर्माण प्रक्रिया की सफलता के साथ-साथ इसकी पहचान की समीक्षा कर सकते हैं।
[2024-03-26 12:41:55] जानकारी प्रमाणित: [विश्वसनीय] साइन सफलता, सीए: फुलसीओ-साइनर, सीएन: सिगस्टोर-इंटरमीडिएट, ईमेल: [your_identity@gmail.com], यूआरआई: [] ... [2024-03-26 12:41:55] जानकारी प्रमाणित: साक्ष्य सफलतापूर्वक उत्पन्न हुआ
नीति मूल्यांकन: आपकी नीति परिभाषित होने और साक्ष्य तैयार होने के बाद, अब आपकी आपूर्ति श्रृंखला घटकों के आधार पर इसका मूल्यांकन करने का समय आ गया है। का उपयोग करें valint verify
लक्ष्य छवि और आपकी नीति फ़ाइल के बाद कमांड:
valint verify nginx:latest --policy my_policy.yaml
मूल्यांकन सारांश:
एक बार मूल्यांकन पूरा हो जाने पर, वैलेंट लॉग द्वारा प्रदान की गई सारांश तालिका की समीक्षा करें।
इस विशेष मामले में, वैलेंट विश्लेषण दर्शाता है कि nginx:latest
छवि ताजगी की आवश्यकता को सफलतापूर्वक पूरा करती है लेकिन अनुमान के अनुसार लेबलिंग मानदंडों के अनुपालन में कमी है। प्रदान की गई तालिका प्रत्येक नियम की मूल्यांकन स्थिति को संक्षेप में रेखांकित करती है, यह नोट करते हुए कि क्या साक्ष्य पर उचित रूप से हस्ताक्षर किए गए थे।
SARIF-स्वरूपित परिणाम:
इसके अलावा, आप मूल्यांकन, उल्लंघनों, स्तरों और साक्ष्य संदर्भों का विवरण देने के लिए वैलेंट द्वारा उत्पादित SARIF-स्वरूपित परिणामों का पता लगा सकते हैं, जो साक्ष्य की एक और शांति के रूप में आगे बढ़ाया गया है।
समर्थित प्रबंधन प्लेटफ़ॉर्म:
इस मानकीकृत प्रारूप को GitHub, Azure और Scribe SAAS जैसी विभिन्न सुरक्षा प्रबंधन प्रणालियों का समर्थन प्राप्त है। स्क्राइब प्लेटफ़ॉर्म न केवल नीतिगत परिणामों को संभालते हैं बल्कि साक्ष्य प्रबंधन की सुविधा भी देते हैं और भेद्यता प्रबंधन, मेट्रिक्स ट्रैकिंग और बहुत कुछ के लिए व्यापक सुविधाएँ प्रदान करते हैं।
सूचना पूर्वावलोकन:
नीति परिणामों में उपलब्ध जानकारी की एक झलक प्रदान करने के लिए:
{ "संस्करण": "2.1.0", "$schema": "https://raw.githubusercontent.com/oasis-tcs/sarif-spec/master/Schemata/sarif-schema-2.1.0.json", "रन": [ { "टूल": { "ड्राइवर": { "इंफॉर्मेशनयूरी": "https://scribesecurity.com", "नाम": "वैलिंट", "रूल्स": [ { "आईडी": "फ्रेश -छवि", "नाम": "ताज़ा छवि", "संक्षिप्त विवरण": { "पाठ": "यह सत्यापित करने के लिए एक नियम कि छवि एक सीमा से अधिक पुरानी नहीं है" }, }, { "आईडी": "लेबल", "नाम": "लेबल", "संक्षिप्त विवरण": { "पाठ": "यह सत्यापित करने के लिए एक नियम कि छवि में सभी आवश्यक लेबल हैं" }, }, "परिणाम": [ { "नियम आईडी": "ताजा-छवि" , "नियम इंडेक्स": 0, "प्रकार": "पास", }, { "नियम आईडी": "लेबल", "नियम इंडेक्स": 1, "प्रकार": "विफल", "स्तर": "चेतावनी", "नीति .उल्लंघन": { "प्रकार": "अनुपलब्ध लेबल", "विवरण": [ { "लेबल": "नहीं_मिला" }, { "लेबल": "org.opencontainers.image.source" } }, ... ] }
नीति बंडल
वैलेंट में एक बंडल कोड पैकेज के रूप में एक नीति है, अनिवार्य रूप से एक गिट भंडार नीतियों और नियमों का एक सेट होस्ट करना। उपयोगकर्ता वैलिन्ट द्वारा प्रदान किए गए नमूना भंडार को फोर्क करके और अपनी आवश्यकताओं के अनुसार इसे अनुकूलित करके अपना स्वयं का बंडल स्थापित कर सकते हैं।
कांटा और अनुकूलित करें: वैलिन्ट को फोर्क करके प्रारंभ करें नमूना भंडार. अपने संगठन की आवश्यकताओं के अनुरूप नीतियों और नियमों को अनुकूलित करें।
वैलेंट को प्रावधान: वैलेंट को अपना कस्टम बंडल आपूर्ति करें:
वैलेंट सत्यापित --बंडल https://github.com/my_org/my_bundle.git \ --policy my_policy.yaml
कस्टम नियम
नियमों को अनुकूलित करते समय, मौलिक जिम्मेदारी साक्ष्य पेलोड को पार्स करना और परिभाषित अनुपालन मानदंडों के आधार पर उल्लंघन की रिपोर्ट करना है। चाहे आप मौजूदा नियमों को संशोधित कर रहे हों या नए नियम बना रहे हों।
अनुपालन मानदंड को परिभाषित करना: संगठनात्मक नीतियों, सुरक्षा मानकों या विनियमों के आधार पर अनुपालन मानदंड परिभाषित करें।
साक्ष्य मानदंड को परिभाषित करना: अनुपालन संप्रेषित करने के लिए अपेक्षित साक्ष्य को परिभाषित करें।
अनुपालन का मूल्यांकन करना और उल्लंघनों की रिपोर्ट करना: परिभाषित मानदंडों के अनुपालन का मूल्यांकन करने के लिए साक्ष्य पेलोड का उपयोग करें। यदि घटक आवश्यकताओं को पूरा करने में विफल रहता है तो उल्लंघन की रिपोर्ट करें।
वैलेंट सुनिश्चित करता है कि किसी भी कस्टम नियम के लिए हस्ताक्षर और साक्ष्य मूल आवश्यकताएँ आसानी से उपलब्ध हैं।
जबकि वैलेंट वर्तमान में कार्यरत है ओपीए रेगो नियम निर्माण के लिए, एक रोमांचक क्षितिज इंतजार कर रहा है क्योंकि निकट भविष्य में पायथन नियमों को एकीकरण के लिए निर्धारित किया गया है।
आगे क्या होगा?
गेटकीपर के साथ एकीकरण अब सुलभ है! हमारा संदर्भ लें दस्तावेज़ीकरण जानकारी के लिए। आगामी ब्लॉग पोस्ट के लिए बने रहें जहां हम इस रोमांचक विकास के बारे में विस्तार से बताएंगे।
भविष्य के ब्लॉग पोस्ट पर नज़र रखें जहां हम नीतिगत पहलों का पता लगाएंगे, जिसमें उच्च-स्तरीय नीतियां भी शामिल हैं जो एसएलएसए और एसएसडीएफ जैसे सुरक्षा ढांचे को लागू करेंगी।
पायथन उत्साही लोगों के लिए रोमांचक खबर! हमारे नवीनतम अपडेट में व्यापक पायथन समर्थन शामिल है, जो महत्वपूर्ण अनुकूलता को बढ़ावा देता है। यह नीति लेखकों को पायथन का उपयोग करके नियमों को अनुकूलित करने और पुस्तकालयों की विशाल श्रृंखला का लाभ उठाने का अधिकार देता है।
निष्कर्ष
संक्षेप में, वैलेंट का नीति इंजन आपकी आपूर्ति श्रृंखला के भीतर अनुपालन सुनिश्चित करने के लिए एक मजबूत समाधान प्रदान करता है। साक्ष्य, नीतियों और बंडलों जैसे अपने घटकों का लाभ उठाकर, संगठन अनुपालन प्रयासों को सुव्यवस्थित कर सकते हैं और जोखिमों को प्रभावी ढंग से कम कर सकते हैं।
यह सामग्री आपके लिए स्क्राइब सिक्योरिटी द्वारा लाई गई है, जो एक अग्रणी एंड-टू-एंड सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा समाधान प्रदाता है - जो संपूर्ण सॉफ्टवेयर आपूर्ति श्रृंखलाओं में कोड कलाकृतियों और कोड विकास और वितरण प्रक्रियाओं के लिए अत्याधुनिक सुरक्षा प्रदान करता है। और अधिक जानें.