The First Kubernetes Bill of Materials Standard Arrives
2023/06/13 TheNewStack — Software Bill of Materials (SBOM) を使っていない組織であっても、すぐに使うことになるだろう。SBOM は、ビルディング・コードのセキュリティ防御における、不可欠な基盤として捉えられている。Software Package Data Exchange (SPDX) や CycloneDX に加えて、GitHub における依存関係サブミッション・フォーマットなどの、いくつかの SBOM 標準が存在していたが、これまでは Kubernetes 専用の標準が存在しなかった。しかし、Kubernetes Security Operations Center (KSOC) の、Kubernetes Bill of Materials (KBOM) スタンダードが出てきたようだ。
現時点の KBOM は初期段階のものであり、ラフな第一稿である。KBOM は、JavaScript Object Notation (JSON) による初期仕様を提供し、Kubernetes 1.19 以降において、つまりハイパースケールのクラウド・サービス・プロバイダ、および DIY のKubernetes で動作すると記されている。
![](https://iototsecnews.jp/wp-content/uploads/2023/06/sbom.png?w=1024)
KBOM のシェル・インターフェイスにより、クラウド・セキュリティ・チームは、環境内のサードパーティ・ツールを包括的に理解できるようになる。この開発の目的は、急増する新しい Kubernetes ツールの脆弱性に、迅速に対応する点にあるという。
必要なのか?
とはいえ、SBOM の規格は他にもたくさんあるので、本当に必要なのかという疑問も生じる。Kubernetes は、コンテナ・デプロイメントのオーケストレーションもおいて、96% 以上の組織で使用されているため、デプロイメント・セキュリティに関するギャップが存在することは明らかだ。結局のところ、Kubernetes のセキュリティ導入率は依然として低く、2022年は 34% となっている。Kubernetes のセキュリティを確保する上での大きな障壁は、環境のスコープを正確に把握できないことである。
KSOCO の CTO である Jimmy Mesta は、「Kubernetes は、私たちが知っている最大級のビジネス・ブランドの多くで、アプリケーションをオーケストレーションしているため、もはや導入しないという言い訳は成り立たない。しかし、セキュリティの観点で考えると、スタンダードやコンプライアンスのガイドラインにおいて、Kubernetes 自体は意図的に話題から外され続け、アプリケーション導入前のアクティビティだけに焦点が当てられ続けている。つまり、コンプライアンス・ガイドラインの議論において、Kubernetes を話題に含めるための第一歩として、この KBOM 規格がリリースされることになった」と述べている。
こうしたニーズに応えるため、KBOM は Kubernetes クラスタの要素を、以下のように簡潔にまとめている:
- ワークロード数
- ホスティング・サービスのコストと種類
- 内部イメージとホスト・イメージにおける脆弱性
- サードパーティ・カスタマイズ (デプロイされたカスタムなリソース/認証/サービスメッシュなど)
- マネージド・プラットフォーム/Kubelet のバージョン詳細など
興味を持ってもらえるだろうか?コントリビューションのために、CLI ツールをダウンロードできる。また、この標準について、詳細を参照することも可能だ。この Apache 2 のオープンソース・プログラムは、GitHub ページからアクセスできる。
2023年の初頭は、SBOM に関する元気の良い話というのは聞かれませんでしたが、2023/04/04 には Docker が、2023/04/06 には GitHub がというふうに、少しずつではありますが、動きが見え始めてきました。また、2023/05/18 の「SBOM360 Hub は新たなプラットフォーム:ソフトウェア流通に関わるステークホルダーを支援」では、SBOM の流通に関する動きも始まっています。なんとなく、楽しみな展開です。よろしければ、SBOM で検索も、ご利用ください。
![](https://iototsecnews.jp/wp-content/uploads/2023/05/mt_11.png)
You must be logged in to post a comment.