Atingindo a conformidade contínua de contêineres SP 800–190 com a Scribe Security

Co-escrito com Viktor Kartashov.

A norma NIST SP 800–190 fornece diretrizes estruturadas para proteger aplicações em contêineres, abrangendo desde a procedência da imagem até os controles de tempo de execução. À medida que o uso de contêineres aumenta exponencialmente em ambientes de DevOps acelerados, o alinhamento com esses requisitos torna-se essencial e desafiador.

Mas SP 800–190 aqui é apenas um caso de uso. A ideia maior é trazer validação contínua, assinada e de política como código em seus pipelines de CI/CD, independentemente da estrutura de segurança.

A maioria das equipes ainda trata a conformidade como uma atividade de estágio final — atrasada, frágil e dissociada do desenvolvimento. Mas e se cada imagem, cada RP, cada tag fosse continuamente validada em relação às políticas de segurança?

O Desafio: Conformidade Consistente em um SDLC Rápido

O desafio é que, embora o SP 800–190 diz a você o que proteger  — fornece orientação clara e categorias como Contramedidas de Imagem, o verdadeiro obstáculo é como traduzir essas diretrizes de alto nível em verificações concretas e acionáveis, como aplicá-los de forma consistente, e como provar que você fez. É precisamente aqui que nossas ferramentas contínuas de governança e conformidade do SDLC entra em cena, transformando a conformidade de um fardo manual em um processo automatizado e verificável.

Em vez de depender de scripts frágeis e únicos ou de varreduras pós-implantação em estágio avançado, Abordagem do escriba traz controles de segurança estruturados e executáveis ​​diretamente para o centro do seu Ciclo de Vida de Desenvolvimento de Software (SDLC). Fazemos isso perfeitamente usando Ações do GitHub, Valint e Sigstore, permitindo que você:

• Defina suas políticas de segurança como código, tornando-os administráveis.
• Automatizar verificações diretamente dentro dos seus fluxos de trabalho de desenvolvimento.
• Assine criptograficamente e armazene com segurança todas as evidências de segurança.
• Obtenha rastreabilidade e auditabilidade completas para cada artefato, desde a solicitação de pull até a produção.

O núcleo da nossa solução: política como código com Valint

No centro de A solução poderosa do Scribe encontra-se um arquivo de iniciativa declarativa. Ele mapeia perfeitamente as diretrizes e controles abstratos do SP 800–190 (como aqueles em “Contramedidas de Imagem”) para regras concretas e executáveis. É aqui que suas políticas de segurança se tornam verdadeiramente código, aplicadas por Valint. Para um mergulho mais profundo em como mecanismos de políticas como o Valint organizam seus esforços de conformidade, recomendamos que você leia nossa postagem anterior, “Do Caos à Clareza: Navegando no Mecanismo de Políticas para Conformidade”. 

Exemplo: Veja como as contramedidas específicas de imagem são definidas dentro da sua iniciativa Valint:

controles:

 – nome: “4.1 CONTRAMEDIDAS DE IMAGEM”

   regras:

     – usos: sarif/trivy/blocklist-cve@v2/rules

       nome: “4.1.1 Vulnerabilidades de alto perfil”

     – usos: imagens/verificar-rótulos@v2/regras

       nome: “4.1.3 Rótulos de imagem obrigatórios”

     – usos: imagens/imagem-base-permitida@v2/regras

       nome: “4.1.5 Imagens de Base Aprovadas”

A flexibilidade aqui é imensa: enquanto nossa demonstração usa sp-800-190.yaml, Valint permite que você o substitua facilmente, personalize-o ou adicione suas próprias iniciativas, seja com base em benchmarks do CIS, diretrizes organizacionais internas ou políticas totalmente personalizadas. 

Para obter informações mais detalhadas sobre definir e utilizar iniciativas específicas, consulte nossa documentação. Você também pode explorar nosso guia de alto nível sobre como implementar iniciativas de SDLC aqui.

A história de um desenvolvedor: conformidade em tempo real em solicitações de pull

Então, como isso se parece para os desenvolvedores? No momento em que um A solicitação de pull é aberta, o pipeline de CI entra em ação automaticamente, orquestrando uma série de verificações de segurança vitais.

Em primeiro lugar, o Fase de construção começa, onde a imagem é construída e metadados cruciais são coletados diretamente do Dockerfile. Em seguida, um Geração SBOM passo cria um detalhado CycloneDX SBOM, rastreando meticulosamente pacotes e camadas de imagem base para transparência total. Em seguida, um Análise de Vulnerabilidade é realizado para produzir um relatório abrangente no formato SARIF. Finalmente, Avaliação da política assume o centro do palco como Valint verifica rigorosamente todas as evidências acumuladas em relação à sua iniciativa SP 800–190 predefinida.

Se alguma violação for descoberta — talvez um CVE com gravidade superior a 8.5 — seu pipeline será configurado para bloquear a PR imediatamente ou emitir um aviso em destaque. A melhor parte? Um resumo conciso das descobertas é anexado diretamente à visualização de PR do GitHub. fornecer aos desenvolvedores feedback imediato e prático. Isso os capacita a abordar questões de segurança de forma proativa, exatamente onde trabalham.

Scribe UI: Limpar a visualização de violações de política

Exemplo: Resumo da verificação de RP do GitHub: feedback imediato do desenvolvedor

– nome: Coletar evidências e avaliar políticas

 usos: scribe-security/action-verify@master

 com:

   alvo: minha_empresa/minha-imagem:v1.0.0

   bom: true # Gerar SBOM para o alvo

   entrada: trivy:trivy-report.json # Gerar evidências para o relatório trivy

   base-image: Dockerfile # Gerar evidência de imagem base

   iniciativa: sp-800-190@v2 # Avaliar Iniciativa

   formato de entrada: atestar

   formato: atestar

Artefatos como SBOMs, resultados de varredura e a saída da política podem, é claro, ser opcionalmente retidos como artefatos de pipeline para inspeção ainda mais profunda ou arquivamento de conformidade.

The Release Gate: Conformidade Verificável por Meio de Evidências Assinadas

Após a fusão bem-sucedida de uma solicitação de pull, a jornada continua até o pipeline de liberação, onde a imagem passa por uma validação final e crítica de acordo com as mesmas regras SP 800–190. Não se trata apenas de uma repetição; é o portal para a implantação. Nesta fase crucial, o Plataforma ScribeHub foca na criação prova verificável de conformidade, garantindo que cada divulgação não seja apenas segura, mas comprovadamente confiável por meio de evidências abrangentes e assinadas.

Seja uma aprovação ou uma falha, O ScribeHub mantém total transparência e rastreabilidade. Crucialmente, todas as evidências — incluindo o resultado detalhado da política — são carregadas em um armazenamento seguro e assinadas criptograficamente (por exemplo, via Sigstore, x.509 ou KMS). Isso garante que cada resultado seja imutável e verificável, fornecendo um registro completo para auditoria e confiança, não importa o que a avaliação mostre.

Esses resultados de políticas SARIF assinados, SBOMs e saídas de varredura tornam-se ativos inestimáveis ​​para:

• Trilhas de auditoria robustas: Fornecendo provas inegáveis ​​de conformidade.
• Atestado de Liberação Confiável: Confirmando a postura de segurança dos seus artefatos implantados.
• Integrações perfeitas de controle de admissão do Kubernetes: Habilitando portas automatizadas antes que as imagens sejam executadas em seus clusters.

Na interface do usuário do ScribeHub, quaisquer violações são claramente marcadas e cada evidência assinada é meticulosamente rastreável, diretamente vinculada ao resultado da iniciativa que a produziu. Isso oferece clareza e confiança incomparáveis ​​na segurança da sua cadeia de suprimentos.

Vulnerabilidades agregadas de SBOM e Scan

Scribe UI: Evidências Rastreáveis ​​e Assinadas

Veja nossa solução em ação: o pipeline de demonstração

Você leu como nossas ferramentas de conformidade contínua dá vida ao SP 800–190. Agora, veja você mesmo! Criamos um tutorial prático repositório de demonstração que mostra exatamente como Valint e Sigstore trabalhar juntos nos fluxos de trabalho de RP e de lançamento.

Explore o código de demonstração aqui: scribe-public/demo-pipeline

Este repositório contém dois fluxos de trabalho essenciais do GitHub Actions, sp800-190-policy-pr.yml e sp800-190-policy-release.yml, que demonstram visualmente o feedback imediato para os desenvolvedores e as evidências criptograficamente assinadas para o lançamento, conforme descrito ao longo deste post.

Artigos Relacionados

SCA e SBOM: Qual a diferença?

Isso está associado a eles em um determinado aplicativo de software. Usando ferramentas SCA, toda a base de código de uma aplicação é pesquisada para descobrir todas as bibliotecas e componentes de código aberto usados ​​na aplicação, suas versões são monitoradas e também descobre as vulnerabilidades conhecidas desses componentes. Objetivo do SCA O objetivo principal [...]

O que está escondido no seu código?

Você não pode confiar nos produtos assinados e nas atualizações dos fornecedores e seu próprio código pode já ter sido modificado ou adicionado. O que, então, você pode fazer para ter certeza de que não está instalando arquivos maliciosos em seu sistema?

Graduados da In-Toto na CNCF: Protegendo a cadeia de suprimentos de software com facilidade

O que é in-toto e como ele protege a cadeia de suprimentos de software? Ataques à cadeia de suprimentos de software, como os observados nos últimos anos – 3CX, Codecov e Solarwinds – evidenciaram a fragilidade dos pipelines de desenvolvimento tradicionais. Em resposta, a comunidade de código aberto desenvolveu o in-toto, uma estrutura para garantir a integridade em todas as etapas da entrega de software. O in-toto […]