との共著 ヴィクトル・カルタショフ.
NIST SP 800–190規格は、コンテナ化されたアプリケーションのセキュリティを確保するための構造化されたガイドラインを提供しており、イメージの出所からランタイム制御まで、あらゆる側面を網羅しています。急速に変化するDevOps環境でコンテナの利用が急増するにつれ、これらの要件への準拠は不可欠であると同時に、困難を伴います。
しかし、ここでのSP 800–190は単なるユースケースです。より大きなアイデアは、 継続的、署名付き、ポリシー・アズ・コード検証 セキュリティ フレームワークに関係なく、CI/CD パイプラインに組み込むことができます。
多くのチームでは、コンプライアンスを最終段階の活動として捉えており、開発とは切り離され、遅延し、不安定になっています。しかし、すべてのイメージ、すべてのPR、すべてのタグがセキュリティポリシーに照らして継続的に検証されたらどうなるでしょうか?
課題: 迅速な SDLC における一貫したコンプライアンス
課題は、SP 800~190 何を確保すべきかを教えてくれる — 明確なガイドラインとイメージ対策のようなカテゴリーを提供しているが、本当のハードルは これらの高レベルのガイドラインを具体的かつ実行可能なチェックにどのように変換するかそれを一貫して施行する方法、 および それをどうやって証明するか。まさにこれが 継続的なSDLCガバナンスとコンプライアンスツール の登場により、コンプライアンスは手作業による負担から自動化され検証可能なプロセスへと変化します。
脆弱な単発のスクリプトや導入後の最終段階でのスキャンに頼るのではなく、 筆記者のアプローチ 構造化され、強制力のあるセキュリティ管理をソフトウェア開発ライフサイクル(SDLC)の中核に直接組み込みます。これをシームレスに実現するために、 GitHub Actions、Valint、Sigstore、次のことが可能になります。
- セキュリティポリシーをコードとして定義し、 管理しやすくします。
- チェックを自動化 開発ワークフロー内で直接実行できます。
- すべてのセキュリティ証拠を暗号で署名し、安全に保存します。
- 完全なトレーサビリティと監査可能性を実現 プルリクエストから本番環境まで、あらゆる成果物に対して。
私たちのソリューションの核心:Valintによるコードとしてのポリシー
の中心に Scribeの強力なソリューション 宣言型のイニシアチブファイルがあります。これは、SP 800–190の抽象的なガイドラインとコントロール(「イメージ対策」など)を、具体的で実行可能なルールに美しくマッピングします。ここで、セキュリティポリシーが真にコードとなり、適用されます。 ヴァリントValintのようなポリシーエンジンがコンプライアンスへの取り組みをどのように整頓するのかについてより詳しく知りたい方は、以前の投稿をご覧ください。 「混沌から明確さへ:コンプライアンスのためのポリシーエンジンのナビゲート」.
例: Valint イニシアチブ内では、具体的なイメージ対策が次のように定義されます。
コントロール:
– 名称:「4.1 画像対策」
ルール:
– 使用: sarif/trivy/blocklist-cve@v2/rules
名前: 「4.1.1 注目度の高い脆弱性」
– 使用: images/verify-labels@v2/rules
名前:「4.1.3 必須画像ラベル」
– 使用: images/allowed-base-image@v2/rules
名前: 「4.1.5 承認済みベースイメージ」
ここでの柔軟性は非常に大きいです。デモでは sp-800-190.yaml, Valintを使用すると、簡単に置き換えたり、カスタマイズしたり、独自の取り組みを追加したりできます。CIS ベンチマーク、内部組織ガイドライン、または完全にカスタマイズされたポリシーに基づくものかどうかに関係なく、あらゆる規模の組織に適しています。
さらに詳しい情報については、 具体的な取り組みの定義と活用、を参照してください ドキュメント。 また、私たちを探索することができます SDLCイニシアチブの実施に関するハイレベルガイド こちら.
開発者のストーリー: プルリクエストにおけるリアルタイムコンプライアンス
では、開発者にとってこれはどのようなものになるのでしょうか? プルリクエストが開かれました、CI パイプラインが自動的に実行され、一連の重要なセキュリティ チェックが調整されます。
まず、 構築フェーズ イメージがビルドされ、重要なメタデータがDockerfileから直接収集されるプロセスが開始されます。その後、 SBOMの生成 ステップは詳細な サイクロンDX SBOMパッケージとベースイメージレイヤーを丁寧にトレースし、完全な透明性を実現します。次に、 脆弱性スキャン 包括的なSARIF形式のレポートを作成するために実行されます。最後に、 政策評価 が中心舞台に立つ ヴァリント 蓄積されたすべての証拠を、事前に定義された SP 800–190 イニシアチブと厳密に照合します。
違反が発見された場合(例えば、重大度が8.5を超えるCVEなど)、パイプラインはPRを完全にブロックするか、目立つ警告を表示するように設定されています。そして、最も素晴らしい点は、発見事項の簡潔な要約がGitHubのPRビューに直接添付されることです。 開発者に即時かつ実用的なフィードバックを提供するこれにより、従業員は勤務先でセキュリティ上の懸念に積極的に対処できるようになります。
Scribe UI: ポリシー違反のクリアビュー
例: GitHub PRチェックの概要: 開発者からの即時フィードバック
– 名前: 証拠を収集し、政策を評価する
使用: scribe-security/action-verify@master
と:
ターゲット: my_company/my-image:v1.0.0
bom: true # ターゲットのSBOMを生成する
入力: trivy:trivy-report.json # trivyレポートの証拠を生成する
base-image: Dockerfile # ベースイメージの証拠を生成する
イニシアティブ: sp-800-190@v2 # イニシアティブを評価する
入力形式: 証明
フォーマット: 証明
もちろん、SBOM、スキャン結果、ポリシー出力などのアーティファクトは、さらに詳細な検査やコンプライアンス アーカイブのために、パイプライン アーティファクトとしてオプションで保持できます。
リリースゲート:署名された証拠による検証可能なコンプライアンス
プルリクエストのマージが成功した後、旅は リリースパイプラインイメージはここで、同じSP 800-190ルールに照らし合わせた最終的な重要な検証を受けます。これは単なる再実行ではなく、デプロイへの入り口となります。この重要な段階で、 ScribeHubプラットフォーム 創造に焦点を当てる 検証可能なコンプライアンス証明すべてのリリースが安全であるだけでなく、包括的な署名付き証拠を通じて実証的に信頼できるものであることを保証します。
合格か不合格か、 ScribeHub は完全な透明性と追跡可能性を維持します。 重要なのは、 すべての証拠(詳細なポリシー結果を含む)は安全なストアにアップロードされ、暗号的に署名されます(例:Sigstore、x.509、KMS経由)。 これにより、すべての結果が不変かつ検証可能になり、評価結果に関係なく、監査と信頼のための完全な記録が提供されます。
これらの署名された SARIF ポリシー結果、SBOM、およびスキャン出力は、次のような場合に貴重な資産となります。
- 堅牢な監査証跡: コンプライアンスの否定できない証拠を提供します。
- 信頼できるリリース証明: デプロイされたアーティファクトのセキュリティ体制を確認します。
- シームレスな Kubernetes アドミッション コントロールの統合: クラスターでイメージが実行される前に自動ゲートを有効にします。
ScribeHubのUIでは、違反箇所が明確にマークされ、署名された証拠はすべて綿密に追跡可能で、その証拠を生み出したイニシアチブの結果に直接リンクされています。これにより、サプライチェーンのセキュリティにおいて比類のない透明性と信頼性が確保されます。
SBOMとスキャンから集約された脆弱性
Scribe UI: 追跡可能で署名された証拠
ソリューションの実例をご覧ください: デモパイプライン
読みました 継続的なコンプライアンスツール SP 800–190を実際に体験してみましょう。さあ、ご自身で体験してみてください!実践的な デモリポジトリ それはまさに ValintとSigstore PR とリリースの両方のワークフローで連携します。
デモコードをここでご覧ください: scribe-public/デモパイプライン
このリポジトリには、2つの重要なGitHub Actionsワークフローが含まれています。 sp800-190-policy-pr.yml および sp800-190-policy-release.yml, これらは、この投稿全体で説明されているように、開発者への即時フィードバックとリリースのための暗号署名された証拠を視覚的に示します。
このコンテンツは、エンドツーエンドのソフトウェア サプライ チェーン セキュリティ ソリューションの大手プロバイダーである Scribe Security によって提供されており、ソフトウェア サプライ チェーン全体のコード成果物とコード開発および配信プロセスに最先端のセキュリティを提供しています。 詳しくはこちら。
関連記事
