KubeClarity 漏洞掃描:內部介紹

作者: /

作為KubeClarity 系列軟體供應鏈的一部分,我們涵蓋了所有基本概念,用於了解 KubeClarity 的需求以及它可以使用SBOM(軟體物料清單)和網路漏洞掃描來解決的問題,以防止軟體供應鏈 攻擊。到目前為止,您已經對 KubeClarity 有了大致的了解,並且 哪裡可以找到它。因此,在這篇文章中,我將帶您了解 KubeClarity 的內部結構。

關於KubeClarity您已經了解的信息

KubeClarity 是一種用於偵測和管理軟體物料清單 (SBOM) 以及容器映像和檔案系統漏洞的工具。使用 KubeClarity 進行安全掃描將對運行時 Kubernetes 叢集和 CI/CD 管道進行排序,以產生 SBOM 文件和漏洞報告,以增強軟體供應鏈的安全性。

你可能還不知道的事

KubeClarity 這個名字怎麼了? KubeClarity 專案最初的重點是保護基於 Kubernetes 的容 化部署,以提高保護供應鏈的可見度和清晰度。

KubeClarity 針對 Kubernetes 環境進行了最 新加坡電話號碼數據 佳化,可以在任何容器化環境中運行,並掃描叢集、pod、檔案、影像、目錄、RootFS、套件和應用程式。您可以在本機和雲端環境中運行它,以進行系統範圍的網路漏洞掃描。

電話號碼數據

SBOM 分析和漏洞掃描是確保軟體供應鏈安全的決定性步驟。然而,運行這些工具可能很複雜,並且存在許多未知因素。 KubeClarity 軟體為您大大簡化了這個過程。

KubeClarity 可以提供清晰的訊息

  • 為漏洞掃描產生準確的 SBOM 的最佳方法是什麼?
  • 如何確保全面發現所有程式語言和套件管理器?
  • 如何適應各種作業系統發行版?
  • 如何追蹤運行時軟體 隱私法規在數位行銷中日益重要:您需要了解什麼 中的包依賴資訊(這些資訊通常在建置時被刪除)?
  • 對於特定程式語言和作業系統發行版來說,哪一個是最好的掃描器/SBOM 分析器?
  • 什麼需要安全掃描:Git 儲存庫、建置、容器映像或執行時?
  • 掃描的最佳時間是 資料庫資料庫 什麼時候?是在開發、建置、部署還是運行時?
  • 如何比較各種掃描器的結果 – 每個掃描器/分析儀都有自己的格式和漏洞資料庫?
  • 安全掃描完成後,如何管理發現的 SBOM 和漏洞?
  • 什麼是漏洞的「爆炸半徑」?我的映像或套件中的漏洞如何影響我的應用程式?

KubeClarity 的秘密武器

KubeClarity 可以透過優化準確的軟體物料清單 (SBOM) 來偵測和漏洞掃描流程,以其獨特的方法澄清和回答關鍵的軟體供應鏈安全問題。

一些現有的工具,例如 賽夫特, 瑣碎的Grype等提供 SBOM 產生和/或漏洞掃描功能。每個工具都使用特定的格式,並且可能比其他工具更適合尋找特定程式語言或作業系統發行版中的漏洞。有些工具僅適用於某些類型的掃描或部署。沒有通用的掃描器或分析儀。

的方法並不是透過創建另一個 SBOM 生成器或漏洞掃描器來重新發明輪子,而是最大化價值並整合流行的開源分析器和掃描器來創建全面且準確的漏洞分析。”

它可以被視覺化為 SBOM 分析器和漏洞掃描器與預處理和後處理模組的結合,以產生通用 SBOM 和漏洞依賴圖來導航和修復漏洞。下圖2顯示了產生通用SBOM和漏洞依賴圖的步驟。

網路漏洞掃描功能

KubeClarity 的核心功能是可擴展整合、可插拔架構、CI/CD 管道自動化、使用者友好的 Web 入口網站和開發人員 API 整合。這些都是 KubeClarity 獨一無二的要素:

  1. 兩階段掃描:
    • 掃描應用程式資源/目標內容以產生 SBOM。
    • 掃描 SBOM 是否存在漏洞。
  2. 具有可插拔組件的並行掃描基礎設施:
    • 並行運行多個 SBOM 分析器。
    • 並行運行多個漏洞掃描程式。
  3. 運行時掃描:
    • 掃描以偵測部署後發現的漏洞。
    • 私人註冊表掃描和機密管理支援。
  4. 多樣化的輸入類型:
    • Kubernetes 叢集、pod、容器、檔案、映像、目錄、RootFS、套件和應用程式。
  5. 漏洞圖:
    • 將掃描的資源(圖像/目錄/包)分組到定義的應用程式下。
    • 瀏覽樹依賴關係(應用程式、資源、套件、漏洞)
  6. 靈活操作:
    • 多模式操作,可在 CLI、UI 和 API 之間轉移狀態。
  7. 自訂配置和過濾器:
    • 可自訂的配置設定以支援 SBOM 分析和掃描。
    • 可自訂的過濾器以可視化漏洞趨勢。
  8. 可匯出的報告:
    • 將所有漏洞匯出到 CSV 檔案可以自動化並與 Jira 等票務系統整合。

建築學

本系列未來的部落格文章將更深入地探討該架構,但讓我們先來看看 KubeClarity 的高級架構。下面圖 3 的架構圖展示如何製作秘方。

KubeClarity 模組

KubeClarity 採用模組化架構,具有專用功能元件,透過 CLI/UI/API 處理輸入掃描要求,然後產生工作作業來執行掃描並將結果發佈到相關模組,如架構圖中的圖 3 所示。以下是關鍵模組的清單:

  • 後端模組
  • 使用者介面
  • SBOM DB(用於 SBOM 儲存)
  • PostgreSQL KubeClarity 資料庫
  • 運行時掃描協調器
  • 集中式掃描器(選購)可提高儲存效率

我們將在接下來的部落格文章中深入研究這些模組,並對設計流程和 API 呼叫有更深入的了解。

執行

後端服務是用GO lang實現的,前端是用JavaScript實現的。當您瀏覽原始程式碼時,您會注意到架構圖中的每個後端元件在原始程式碼中都會被組織為GO 模組,因此在程式碼中遵循這些功能元件並將它們匯入到您現有的專案中應該很簡單根據需要進行整合。在下面的圖 4 中,您可以看到原始程式碼構成的細分快照:

配置

更改中的預設組態設定 並根據需要自訂部署。若要啟用和設定受支援的 SBOM 產生器和漏洞掃描器,請在「漏洞掃描器」部分下設定「分析器」和「掃描器」設定。關於配置,您可以更改一個模組的設置,而不會影響其他模組,除非兩個模組具有依賴性,在這種情況下文件會這麼說。

 

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

版權 熱門資料庫

返回頂端