Chainguard спонсировал этот пост.
В этом эпизоде «Новые производители стеков» издатель TNS и основатель TNS Алекс Уильямс догнал Ville Aikas-основатель Chainguard и самопровозглашенный «первый участник Kubernetes до того, как это были даже Kubernetes».
Обсуждение, записанное в Kubecon + CloudNativecon Europe, в Лондоне, варьировалось от исторического контекста безопасности контейнеров (и ранних предположений о безопасном поведении, которое впоследствии доказано неверным) до того, как выглядит безопасность изображений контейнера в средах AI/машинного обучения.
Айкас, который работал над ранними проектами с открытым исходным кодом, включая Kubernetes, Helm и Knatie, описал, как фундаментальные принципы безопасности иногда упускаются из виду в спешке для обеспечения функциональности. «Безопасные значения по умолчанию действительно важны, и это то, что я думаю, что мы не совсем поняли», — сказал Айкас, отметив, что такие конфигурации, как запуск контейнеров в качестве корня, должны были потребовать специальных разрешений, а не поведение по умолчанию:
«Мы подталкивали демонстрационные изображения в Docker, а затем запускали их оттуда, потому что в то время у нас не было контейнерного реестра», — сказал он. Кто -то спросил: «Подожди, чтобы люди могли просто потянуть эти вещи? Как вы их проверяете?» И мы, как, конечно, никто не собирается вытащить только случайные вещи.
Оглядываясь назад, сказал Айкас, некоторые когнитивные предвзятости были работой. «Мы все в Google, где вы не могли делать такие вещи, потому что все было заблокировано правильно. Поэтому мы предположили, что у других людей также будет очень хорошая осанка безопасности», — вспоминает он. «Оказывается, это не всегда так».
Уроки извлеченные и возникающие проблемы
По словам Айкаса, сообщество Kubernetes не только установило защитные дефолты: это работало над созданием политики управления и сотрудничало с лучшими практиками в отношении стандартизированного сканирования безопасности, решения таких вопросов, как эфемерность, избегание долгоживущих полномочий и федеративную аутентификацию.
В то же время, однако, Айкас также видел, как компании выражают желание, поскольку он говорит: «Получите изображения контейнеров, которые вы любите из места, которому вы можете доверять».
Aikas основал Chainguard для удовлетворения этой потребности, предоставляя «минимальные, нулевые изображения контейнеров CVE», созданные с прозрачными цепочками инструментов, полными счетами материалов (SBOMS) и воспроизводимости. «Вы можете доверять нам, но вы также можете проверить нас», — сказал он.
Эта же философия распространяется на виртуальную машину Chainguard для хостов контейнеров и недавно выпущенных библиотек Chainguard, что привносит те же принципы безопасности для зависимостей приложений, начиная с Java Packages. «Наши пользователи, их основная компетенция — создание программного обеспечения и запуска программного обеспечения, а не преследовать проблемы безопасности», — сказал он.
Разговор перешел к появлению проблем, начиная с разговора Wojciech Kocjan от Chainguard в области безопасности контейнеров в средах AI/ML Kubernetes в Cloud Native Rejekts.
«В эти системы начинают все больше и больше доверия, но очень мало знаний о том, откуда они пришли, верно?» Айкас указал. Сложность умножается на интеграцию графического процессора, различные модельные версии и потенциальные векторы атаки, уникальные для искусственного интеллекта, где даже крошечное изменение входных данных может значительно изменить выходы.
По словам Айкаса, потребность в обеспечении моделей уделяет много внимания в сообществе с открытым исходным кодом, а также в Chainguard. «Мы перешли к предоставлению заблокированных, охраняемых изображений ИИ, чтобы люди могли запускать свои рабочие нагрузки, зная, что, по крайней мере, [ML] Код более безопасен ».
Ознакомьтесь с полным эпизодом, чтобы узнать больше о цепочках поставок изображений контейнеров, проблемах измерения эффективности безопасности контейнеров и более глубокого изучения возникающих проблем безопасности, основанных на искусственном интеллекте.
Chainguard является безопасной основой для разработки и развертывания программного обеспечения. Предоставляя охраняемое программное обеспечение с открытым исходным кодом, созданное из источника и непрерывно обновляемое, Chainguard помогает организациям устранить угрозы в цепочках поставок программного обеспечения. Узнайте больше последних из Chainguard Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Мишель Джиеноу — евангелист из Tabnine, оригинального помощника кода ИИ. Мишель-опытный разработчик и технический писатель, и соавтор «Cloud Native Transformation: практические модели инноваций» от O’Reilly Media. Она любит игры, свою собаку и … читайте больше от Мишель Джиеноу
