Raggiungimento della conformità continua dei container SP 800–190 con Scribe Security

Co-scritto con Viktor Kartashov.

Lo standard NIST SP 800–190 fornisce linee guida strutturate per la sicurezza delle applicazioni containerizzate, coprendo ogni aspetto, dalla provenienza delle immagini ai controlli runtime. Con l'esplosione dell'uso dei container negli ambienti DevOps in rapida evoluzione, l'allineamento a questi requisiti diventa essenziale e impegnativo.

Ma SP 800–190 qui è solo un caso d'uso. L'idea più ampia è quella di portare convalida continua, firmata, policy-as-code nelle pipeline CI/CD, indipendentemente dal framework di sicurezza.

La maggior parte dei team considera ancora la conformità come un'attività di fase finale: ritardata, fragile e separata dallo sviluppo. Ma cosa succederebbe se ogni immagine, ogni PR, ogni tag venisse costantemente convalidato rispetto alle policy di sicurezza?

La sfida: conformità costante in un rapido SDLC

La sfida è che mentre SP 800–190 ti dice cosa proteggere  — fornisce una guida chiara e categorie come le contromisure dell'immagine, il vero ostacolo è come tradurre queste linee guida di alto livello in controlli concreti e attuabili, come applicarli in modo coerente, e come dimostrare di averlo fatto. È proprio qui che i nostri strumenti di governance e conformità SDLC continui entra in gioco, trasformando la conformità da un onere manuale in un processo automatizzato e verificabile.

Invece di affidarsi a script fragili e una tantum o a scansioni post-distribuzione in fase avanzata, L'approccio dello scriba porta controlli di sicurezza strutturati e applicabili direttamente nel cuore del tuo ciclo di vita di sviluppo software (SDLC). Lo facciamo in modo fluido utilizzando Azioni GitHub, Valint e Sigstore, consentendoti di:

• Definisci le tue policy di sicurezza come codice, rendendoli gestibili.
• Automatizzare i controlli direttamente all'interno dei flussi di lavoro di sviluppo.
• Firmare crittograficamente e conservare in modo sicuro tutte le prove di sicurezza.
• Ottenere la piena tracciabilità e verificabilità per ogni artefatto, dalla richiesta pull alla produzione.

Il cuore della nostra soluzione: la politica come codice con Valint

Al centro di La potente soluzione di Scribe si trova un file di iniziativa dichiarativo. Questo mappa splendidamente le linee guida e i controlli SP 800-190 astratti (come quelli in "Contromisure di immagine") in regole concrete ed eseguibili. È qui che le tue policy di sicurezza diventano davvero codice, applicate da ValentePer un approfondimento su come i motori di policy come Valint mettono ordine nei tuoi sforzi di conformità, ti invitiamo a leggere il nostro post precedente, “Dal caos alla chiarezza: navigare nel motore di policy per la conformità”. 

Esempio: Ecco come vengono definite le contromisure specifiche per le immagini all'interno della tua iniziativa Valint:

controlli:

 – nome: “4.1 CONTROMISURE D’IMMAGINE”

   regole:

     – utilizza: sarif/trivy/blocklist-cve@v2/rules

       nome: “4.1.1 Vulnerabilità di alto profilo”

     – utilizza: images/verify-labels@v2/rules

       nome: “4.1.3 Etichette immagine richieste”

     – utilizza: images/allowed-base-image@v2/rules

       nome: “4.1.5 Immagini di base approvate”

La flessibilità qui è immensa: mentre la nostra demo utilizza sp-800-190.yaml, Valint ti consente di sostituirlo facilmente, personalizzarlo o aggiungere le tue iniziative, sia che si basi su parametri di riferimento CIS, linee guida organizzative interne o policy completamente personalizzate. 

Per informazioni più dettagliate su definire e utilizzare iniziative specifiche, per favore riferisci a la nostra documentazione. Puoi anche esplorare il nostro guida di alto livello sull'applicazione delle iniziative SDLC qui.

La storia di uno sviluppatore: conformità in tempo reale nelle richieste pull

Quindi, cosa significa questo per gli sviluppatori? Nel momento in cui un La richiesta di pull è aperta, la pipeline CI entra automaticamente in azione, orchestrando una serie di controlli di sicurezza essenziali.

In primo luogo, la Fase di costruzione inizia, dove l'immagine viene creata e i metadati cruciali vengono raccolti direttamente dal Dockerfile. In seguito, un Generazione della SBOM il passaggio crea un dettagliato CycloneDX SBOM, tracciando meticolosamente i pacchetti e i livelli dell'immagine di base per una trasparenza completa. Successivamente, un Scansione vulnerabilità viene eseguito per produrre un report completo in formato SARIF. Infine, Valutazione politica prende il centro della scena come Valente verifica rigorosamente tutte le prove accumulate rispetto all'iniziativa SP 800–190 predefinita.

Se vengono rilevate violazioni, ad esempio un CVE con gravità superiore a 8.5, la pipeline viene configurata per bloccare immediatamente la richiesta di pubblicazione o per emettere un avviso ben visibile. La parte migliore? Un breve riepilogo dei risultati è allegato direttamente alla vista GitHub delle richieste di pubblicazione. fornire agli sviluppatori un feedback immediato e fruibileCiò consente loro di affrontare in modo proattivo i problemi di sicurezza, proprio dove lavorano.

Interfaccia utente di Scribe: visualizzazione delle violazioni delle policy

Esempio: Riepilogo del controllo PR di GitHub: feedback immediato dello sviluppatore

– nome: raccogliere prove e valutare la politica

 usi: scribe-security/action-verify@master

 con:

   destinazione: mia_azienda/mia-immagine:v1.0.0

   bom: true # Genera SBOM per la destinazione

   input: trivy:trivy-report.json # Genera prove per il report trivy

   base-image: Dockerfile # Genera la prova dell'immagine di base

   iniziativa: sp-800-190@v2 # Valuta l'iniziativa

   formato di input: attestare

   formato: attestare

Naturalmente, artefatti come SBOM, risultati di scansione e output delle policy possono essere facoltativamente conservati come artefatti della pipeline per ispezioni ancora più approfondite o per l'archiviazione dei dati di conformità.

The Release Gate: conformità verificabile tramite prove firmate

Dopo che una richiesta di pull si unisce correttamente, il viaggio continua verso pipeline di rilascio, dove l'immagine viene sottoposta a una convalida finale e critica rispetto alle stesse regole SP 800-190. Non si tratta di una semplice ripetizione; è il punto di accesso per la distribuzione. In questa fase cruciale, Piattaforma ScribeHub si concentra sulla creazione prova verificabile di conformità, garantendo che ogni rilascio sia non solo sicuro, ma anche dimostrabilmente affidabile attraverso prove complete e firmate.

Che sia un successo o un fallimento, ScribeHub garantisce la massima trasparenza e tracciabilità. In modo cruciale, tutte le prove, incluso il risultato dettagliato della policy, vengono caricate in un archivio sicuro e firmate crittograficamente (ad esempio tramite Sigstore, x.509 o KMS). Ciò garantisce che ogni risultato sia immutabile e verificabile, fornendo una registrazione completa per audit e affidabilità, indipendentemente da ciò che emerge dalla valutazione.

I risultati delle politiche SARIF firmate, gli SBOM e gli output delle scansioni diventano risorse inestimabili per:

• Percorsi di controllo affidabili: Fornire una prova inconfutabile di conformità.
• Attestazione di rilascio affidabile: Conferma del livello di sicurezza degli artefatti distribuiti.
• Integrazioni fluide per il controllo di ammissione di Kubernetes: Abilitazione di gate automatizzati prima dell'esecuzione delle immagini nei cluster.

Nell'interfaccia utente di ScribeHub, qualsiasi violazione è chiaramente contrassegnata e ogni prova firmata è meticolosamente tracciabile, direttamente collegata al risultato dell'iniziativa che l'ha prodotta. Questo offre una chiarezza e una sicurezza senza pari nella vostra supply chain.

Vulnerabilità aggregate da SBOM e Scan

Scribe UI: prove tracciabili e firmate

Guarda la nostra soluzione in azione: la pipeline demo

Hai letto come i nostri strumenti di conformità continua dà vita a SP 800–190. Ora, scoprilo tu stesso! Abbiamo creato un'esperienza pratica repository demo che mostra esattamente come Valint e Sigstore collaborare nei flussi di lavoro di PR e release.

Esplora il codice demo qui: scribe-public/demo-pipeline

Questo repository contiene due flussi di lavoro essenziali di GitHub Actions, sp800-190-policy-pr.yml e sp800-190-policy-release.yml, che dimostrano visivamente il feedback immediato per gli sviluppatori e la prova firmata crittograficamente per il rilascio, come descritto in tutto il post.

Post Correlati

SCA e SBOM: qual è la differenza?

Questo è associato a loro in una determinata applicazione software. Utilizzando gli strumenti SCA viene ricercata l'intera base di codice di un'applicazione per scoprire tutte le librerie e i componenti open source utilizzati nell'applicazione, le loro versioni vengono monitorate e vengono scoperte anche le vulnerabilità note per tali componenti. Scopo della SCA L’obiettivo principale […]

Cosa si nasconde nel tuo codice?

Non puoi fidarti dei prodotti firmati e degli aggiornamenti dei fornitori e il tuo codice potrebbe essere già stato modificato o aggiunto. Cosa puoi fare, quindi, per essere veramente sicuro di non installare file dannosi nel tuo sistema?

In-Toto si laurea in CNCF: proteggere la catena di fornitura del software con facilità

Cos'è in-toto e come protegge la supply chain del software? Gli attacchi alla supply chain del software, come quelli osservati negli ultimi anni – 3CX, Codecov e Solarwinds – hanno evidenziato la fragilità delle pipeline di sviluppo tradizionali. In risposta, la comunità open source ha sviluppato in-toto, un framework per garantire l'integrità in ogni fase della distribuzione del software. In-toto […]