Docker и Sysdig объединились для обеспечения безопасности цепочки поставок программного обеспечения

Сегодня на конференции DockerCon компания Docker объявила об общей доступности Docker Scout. Благодаря интеграции Sysdig Runtime Insights, Docker Scout помогает разработчикам определить приоритетность рисков. Это позволит значительно повысить безопасность цепочки поставок программного обеспечения. Давайте разберемся, почему.

В попытке усилить безопасность цепочки поставок первоочередное внимание уделяется безопасности контейнеров. Недавно мы рассматривали Wolfi the Linux Unidistro, который работает путем выпуска образов контейнеров
уже снабженные подписями и разумными настройками по умолчанию.

Компания Docker применила альтернативный подход, представив Docker Scout в качестве замены устаревшей функции "docker scan".
При использовании "docker scan" вы вручную проверяли образ на наличие уязвимостей; Docker Scout же отказался от старомодного ручного сканирования по расписанию и перешел на современную событийно-ориентированную модель.

То есть при появлении новой уязвимости, затрагивающей ваши образы, Scout в течение нескольких секунд показывает обновленный риск. Он всегда начеку, обновляя информацию об уязвимостях из 17+ источников в режиме реального времени, и эти данные сравниваются с вашей программной спецификацией, что обеспечивает актуальную точность.

Само собой разумеется, что эта модель значительно опережает своего предшественника в получении ценной обратной связи сразу после
отправки образов в контролируемый репозиторий, что позволяет обнаружить и устранить уязвимости без лишних проволочек.

Теперь все стало еще лучше, поскольку компания Docker присоединилась к Sysdig и интегрировала Sysdig Runtime Insights в Docker Scout.
Эта комбинация добавляет дополнительные уровни безопасности времени выполнения, которые обеспечивают лучшую видимость и позволяют командам разработчиков и специалистов по безопасности нацеливаться на реальные, неизбежные риски.

В результате контейнеры включают в себя пакеты для размещения потенциальных зависимостей, которые никогда не используются, что позволяет разработчикам сосредоточиться на выпуске программного обеспечения, а службам безопасности - на других задачах.

На высоком уровне такое объединение дает очевидные преимущества:

Поставка более безопасных образов: Разработчики могут сравнивать образы на этапе сборки с теми, которые работают в производстве, что позволяет легко выявлять риски, исключать ненужные пакеты и создавать более компактные образы контейнеров с меньшей поверхностью атаки. Интеграция с Docker Build и Push GitHub Action позволяет получать информацию непосредственно в GitHub, чтобы избежать фиксации рискованных образов.
Избегайте пробелов в системе безопасности при сдвиге влево: Безопасность при сдвиге влево позволяет командам принимать более обоснованные решения на ранних этапах процесса разработки. С помощью Docker и Sysdig можно соотнести анализ образов с контекстом времени выполнения и получить действенные выводы для обеспечения безопасности цепочки поставок ПО.
Ускорение доставки облачных нативных приложений: Процессы проверки программного обеспечения ускоряются, если они основаны на анализе времени выполнения Sysdig. Благодаря быстрому выявлению рисков, требующих немедленного устранения, разработчики могут сосредоточиться на инновациях и быстрее создавать облачные нативные приложения.
Снижение шума мониторинга: Совместные заказчики могут снизить уровень шума при мониторинге до 95%, отделяя уязвимости, которые используются, а которые нет. Это помогает командам безопасности сосредоточиться на самом важном и экономит время разработчиков.
В одном предложении все вышесказанное можно выразить так: :

Использование аналитических данных Sysdig runtime означает, что пользователи могут сэкономить время, сосредоточившись на реальных рисках, возникающих в производстве.

Безопасность цепочки поставок программного обеспечения только что поднялась на новый уровень.