공동 집필 빅토르 카르타쇼프.
NIST SP 800–190 표준은 이미지 출처부터 런타임 제어까지 모든 것을 포괄하는 컨테이너화된 애플리케이션 보안을 위한 체계적인 지침을 제공합니다. 빠르게 변화하는 DevOps 환경에서 컨테이너 사용이 폭발적으로 증가함에 따라 이러한 요구 사항을 충족하는 것은 필수적이면서도 어려운 일이 되었습니다.
하지만 여기서 SP 800–190은 단지 사용 사례일 뿐입니다. 더 큰 아이디어는 연속적이고 서명된 정책 코드 검증 보안 프레임워크와 관계없이 CI/CD 파이프라인에 적용하세요.
대부분의 팀은 여전히 규정 준수를 지연되고, 불안정하며, 개발과 동떨어진 최종 단계 활동으로 간주합니다. 하지만 모든 이미지, 모든 PR, 모든 태그가 보안 정책에 따라 지속적으로 검증된다면 어떨까요?
과제: 빠른 SDLC에서의 일관된 규정 준수
도전 과제는 SP 800–190 무엇을 보호해야 하는지 알려줍니다 — 이미지 대책과 같은 명확한 지침과 범주를 제공하지만 실제 장애물은 다음과 같습니다. 이러한 높은 수준의 지침을 구체적이고 실행 가능한 점검으로 변환하는 방법, 이를 일관되게 적용하는 방법, 그리고 당신이 그렇게 했다는 것을 증명하는 방법. 바로 여기입니다. 지속적인 SDLC 거버넌스 및 규정 준수 툴링 규정 준수를 수동 작업에서 자동화되고 검증 가능한 프로세스로 전환합니다.
취약한 일회용 스크립트나 배포 후 후반 단계 스캔에 의존하는 대신, 서기관의 접근 방식 소프트웨어 개발 라이프사이클(SDLC)의 핵심에 체계적이고 시행 가능한 보안 제어를 직접 제공합니다. GitHub Actions, Valint 및 Sigstore, 다음을 수행할 수 있습니다.
- 보안 정책을 코드로 정의하세요. 관리하기 쉽게 만들어줍니다.
- 자동화된 검사 개발 워크플로 내에서 직접 가능합니다.
- 모든 보안 증거를 암호화하여 서명하고 안전하게 보관합니다.
- 완전한 추적성과 감사성 달성 풀 리퀘스트부터 프로덕션까지 모든 아티팩트에 대해.
Valint를 활용한 코드로서의 정책: 솔루션의 핵심
핵심 Scribe의 강력한 솔루션 선언적 이니셔티브 파일이 있습니다. 이 파일은 추상적인 SP 800-190 지침 및 제어("이미지 대책"에 나와 있는 것과 같은)를 구체적이고 실행 가능한 규칙에 완벽하게 매핑합니다. 여기서 보안 정책이 진정한 코드로 구현되어 발린트Valint와 같은 정책 엔진이 규정 준수 노력에 질서를 부여하는 방법에 대해 자세히 알아보려면 이전 게시물을 읽어보세요. “혼란에서 명확성으로: 규정 준수를 위한 정책 엔진 탐색”.
예: Valint 이니셔티브 내에서 구체적인 이미지 대책이 정의되는 방식은 다음과 같습니다.
통제 수단:
– 이름: “4.1 이미지 대책”
규칙 :
– 사용: sarif/trivy/blocklist-cve@v2/rules
이름: “4.1.1 주요 취약점”
– 사용: images/verify-labels@v2/rules
이름: “4.1.3 필수 이미지 레이블”
– 사용: images/allowed-base-image@v2/rules
이름: “4.1.5 승인된 기본 이미지”
여기의 유연성은 엄청납니다. 데모에서는 다음을 사용합니다. sp-800-190.yaml, Valint를 사용하면 쉽게 교체하고, 사용자 정의하거나, 나만의 이니셔티브를 추가할 수 있습니다.CIS 벤치마크, 내부 조직 지침 또는 완전히 맞춤형 정책에 기반하는지 여부입니다.
자세한 내용은 특정 이니셔티브 정의 및 사용, 참조하십시오 우리의 문서. 당신은 또한 우리를 탐색할 수 있습니다 SDLC 이니셔티브 시행에 대한 고급 가이드 LINK.
개발자의 이야기: 풀 리퀘스트의 실시간 규정 준수
그렇다면 개발자에게는 이것이 어떻게 보일까요? 풀 리퀘스트가 오픈되었습니다CI 파이프라인이 자동으로 작동하여 일련의 중요한 보안 검사를 조율합니다.
첫째, 빌드 단계 이미지가 빌드되고 Dockerfile에서 중요한 메타데이터가 직접 수집되는 단계가 시작됩니다. 그 후, SBOM 세대 단계는 자세한 내용을 생성합니다. 사이클론DX SBOM, 패키지와 기본 이미지 레이어를 꼼꼼하게 추적하여 완전한 투명성을 확보합니다. 다음으로, 취약점 검색 포괄적인 SARIF 형식 보고서를 생성하기 위해 수행됩니다. 마지막으로, 정책평가 중심 무대를 차지하다 발린트 사전 정의된 SP 800-190 이니셔티브에 대해 축적된 모든 증거를 엄격하게 확인합니다.
위반 사항이 발견될 경우(심각도 8.5를 초과하는 CVE 등) 파이프라인은 해당 PR을 완전히 차단하거나 눈에 띄는 경고를 표시하도록 구성됩니다. 가장 좋은 점은? 발견된 사항에 대한 간략한 요약이 GitHub PR 뷰에 직접 첨부된다는 것입니다. 개발자에게 즉각적이고 실행 가능한 피드백 제공이를 통해 직원들은 자신이 일하는 곳에서 보안 문제를 사전에 예방적으로 해결할 수 있습니다.
Scribe UI: 정책 위반 사항 보기 지우기
예시: GitHub PR 확인 요약: 즉각적인 개발자 피드백
– 이름: 증거 수집 및 정책 평가
사용: scribe-security/action-verify@master
와:
대상: my_company/my-image:v1.0.0
bom: true # 대상에 대한 SBOM 생성
입력: trivy:trivy-report.json # trivy 보고서에 대한 증거 생성
base-image: Dockerfile # 기본 이미지 증거 생성
이니셔티브: sp-800-190@v2 # 이니셔티브 평가
입력 형식: 증명
형식: 증명하다
SBOM, 검사 결과, 정책 출력과 같은 아티팩트는 더욱 심층적인 검사나 규정 준수 보관을 위해 파이프라인 아티팩트로 선택적으로 보관할 수 있습니다.
릴리스 게이트: 서명된 증거를 통한 검증 가능한 준수
Pull Request가 성공적으로 병합되면 여정은 계속됩니다. 릴리스 파이프라인, 이미지는 동일한 SP 800–190 규칙에 따라 최종적이고 중요한 검증을 거칩니다. 이는 단순한 재실행이 아니라 배포를 위한 관문입니다. 이 중요한 단계에서 ScribeHub 플랫폼 만드는 데 중점을 두고 있습니다. 검증 가능한 준수 증명모든 릴리스가 안전할 뿐만 아니라 포괄적이고 서명된 증거를 통해 입증 가능한 신뢰성을 보장합니다.
합격이든 불합격이든, ScribeHub는 완전한 투명성과 추적성을 유지합니다. 십자가, 모든 증거(자세한 정책 결과 포함)는 보안 저장소에 업로드되고 암호화되어 서명됩니다(예: Sigstore, x.509 또는 KMS). 이를 통해 모든 결과가 변경 불가능하고 검증 가능하므로 평가 결과에 관계없이 감사 및 신뢰를 위한 완전한 기록이 제공됩니다.
서명된 SARIF 정책 결과, SBOM 및 스캔 출력은 다음 기관에 귀중한 자산이 됩니다.
- 강력한 감사 추적: 부인할 수 없는 규정 준수 증거 제공.
- 신뢰할 수 있는 릴리스 증명: 배포된 아티팩트의 보안 태세를 확인합니다.
- 원활한 Kubernetes 입장 제어 통합: 클러스터에서 이미지가 실행되기 전에 자동화된 게이트를 활성화합니다.
ScribeHub UI 내에서 모든 위반 사항은 명확하게 표시되며, 서명된 각 증거는 꼼꼼하게 추적 가능하며, 이를 발생시킨 이니셔티브 결과와 직접 연결됩니다. 이를 통해 공급망 보안에 대한 탁월한 명확성과 신뢰성을 제공합니다.
SBOM 및 스캔에서 집계된 취약점
Scribe UI: 추적 가능하고 서명된 증거
실제 솔루션 보기: 데모 파이프라인
당신은 어떻게 읽었습니까? 당사의 지속적인 규정 준수 도구 SP 800–190에 생명을 불어넣습니다. 지금 바로 직접 확인해 보세요! 데모 저장소 그것이 정확히 어떻게 보여주는지 Valint와 Sigstore PR과 릴리스 워크플로우에서 함께 작업합니다.
여기에서 데모 코드를 살펴보세요: 스크라이브-퍼블릭/데모-파이프라인
이 저장소에는 두 가지 필수 GitHub Actions 워크플로가 포함되어 있습니다. sp800-190-policy-pr.yml 그리고 sp800-190-policy-release.yml, 이 게시물 전체에서 설명한 대로, 개발자에게 즉각적인 피드백을 제공하고 암호화되어 서명된 릴리스 증거를 시각적으로 보여줍니다.
이 콘텐츠는 소프트웨어 공급망 전반에 걸쳐 코드 아티팩트와 코드 개발 및 전달 프로세스에 최첨단 보안을 제공하는 선도적인 엔드투엔드 소프트웨어 공급망 보안 솔루션 제공업체인 Scribe Security에서 제공합니다. 자세히 알아보기.
관련 게시물
