De flesta storföretag har insett att säkerhetssatsningar är ett måste även för sina open source-baserade lösningar, inte minst för att undvika den typ av problem som rapporterades i samband med sårbarheter som Heartbleed och Shellshock.
När allt fler företag allt dessutom använder container-tekniken för ökad flexibilitet och mer effektiv applikationshantering, måste även containrar granskas noga ur ett säkerhetsperspektiv.
Containerteknikens fördelar hämmas dock av att det finns betydande säkerhetsutmaningar som måste tas på allvar. De goda nyheterna är att både transparens och kontroll numera kan automatiseras på ett sätt som gör att container-fördelarna kan nyttjas fullt ut.
Säkerhetsinitiativen bakom containrar
Containerleverantörer som Docker och Red Hat har jobbat hårt med containerrelaterad säkerhet bl.a. i och med lanseringen av Docker Content Trust. Här används kryptering för att säkra koden som körs i Docker-användarens mjukvaruinfrastruktur. Tanken är att skydda användarna från skadliga bakdörrar som kan finnas i delade applikationer och andra säkerhetshot.
Det löser dock bara delvis säkerhetsutmaningarna. Hela mjukvaruarkitekturen måste nämligen vara fri från sårbarheter. Om företag misslyckas med att hålla kända sårbarheter borta även från sin open source-baserade kod kommer verktyg som Docker Content Trust med andra ord att ge ett ofullständigt skydd. Docker Content Trust säkerställer bara att mallarna innefattar samma saker som utvecklaren la in där från början, inklusive de eventuella sårbarheter som då redan fanns i open source-komponenterna!
En holistisk approach avgörande
Det som behövs är kunskap och insyn i vilken kod som företaget använder. Och insyn i koden är kritisk för containersäkerhet, inte bara för att hantera utmaningarna med containrarna själva. Nya sårbarheter som påverkar äldre versioner av open source-komponenter upptäcks konstant. Det räcker därför inte med att enbart veta att containern är fri från sårbarheter från start, utan det krävs en kontinuerlig insyn.
Hur stor säkerhetsrisken är beror på var containrarna driftsätts och vad de innehåller. De containrar som kopplas mot internet och molnet är huvudsakliga mål för IT-brottslingar och står för högst exponering mot en rad attacker som cross scripting, SQL-injektioner och DoS.
Viktigt med hygienen
Användningen av open source ökar bland företagen samtidigt som omfattande, kända säkerhetsluckor påminner oss om varför open source-hygien har blivit en vital del av en effektiv applikationssäkerhetsstrategi.
Sårbarheter i alla sorters mjukvara är oundvikligt där upptäckt och lindring av sårbarheter i open source är avgörande för en lyckad applikationssäkerhetsstrategi. Idag oftare än någonsin knyts applikationssäkerhet närmare till containersäkerhet.
Idag finns det heltäckande säkerhetslösningar för open source, vilka svara på frågor som:
– Exakt vilken typ av open source-komponenter finns i våra applikationer?
– Var finns koden?
– Har koden några kända sårbarheter?
– Hur riskfylld är vår användning av open source?
Dessa verktyg kan skanna av och katalogisera all open source-mjukvara oavsett om det gäller hela plattformar som Linux, Android och Hadoop till enstaka rader kod som kopierats och klistrats in.
Kan säkerhetsrisker sakta ned container-teknikens framfart? Många företag vill gärna fortsätta att dra fördel av container-tekniken då det finns fördelar som förbättrad skalbarhet för applikationer, färre fel vid driftsättning, snabbare time-to-market och förenklad applikationshantering. Däremot är branschanalytiker oense i frågan om säkerhetsutmaningarna kommer sakta ned farten för användningen av tekniken. Vissa menar att företag kommer vänta tills säkerheten är ordentligt på plats. Det stödjs bland annat av en global undersökning från Red Hat där 53 % svarade att säkerheten var deras största oro med container-tekniken.
De företag som tidigt drar nytta av de automatiserade verktyg som redan finns för kontroll och insyn över alla delar av deras mjukvaruinfrastruktur, inklusive containrar, har stora möjligheter att köra ifrån sina konkurrenter på det här området.
Av Bill Ledingham, EVP of Engineering och Chief Technology Officer, Black Duck Software
[wpdevart_youtube width=”640″ height=”385″ autoplay=”0″ theme=”dark” loop_video=”0″ enable_fullscreen=”1″ show_related=”1″ show_popup=”0″ thumb_popup_width=”213″ thumb_popup_height=”128″ show_title=”1″ show_youtube_icon=”1″ show_annotations=”1″ show_progress_bar_color=”red” autohide_parameters=”1″ set_initial_volume=”false” initial_volume=”100″ disable_keyboard=”0″]gjuiVBDlT0o[/wpdevart_youtube]
