The First Kubernetes Bill of Materials Standard Arrives
2023/06/13 TheNewStack — Software Bill of Materials (SBOM) を使っていない組織であっても、すぐに使うことになるだろう。SBOM は、ビルディング・コードのセキュリティ防御における、不可欠な基盤として捉えられている。Software Package Data Exchange (SPDX) や CycloneDX に加えて、GitHub における依存関係サブミッション・フォーマットなどの、いくつかの SBOM 標準が存在していたが、これまでは Kubernetes 専用の標準が存在しなかった。しかし、Kubernetes Security Operations Center (KSOC) の、Kubernetes Bill of Materials (KBOM) スタンダードが出てきたようだ。
現時点の KBOM は初期段階のものであり、ラフな第一稿である。KBOM は、JavaScript Object Notation (JSON) による初期仕様を提供し、Kubernetes 1.19 以降において、つまりハイパースケールのクラウド・サービス・プロバイダ、および DIY のKubernetes で動作すると記されている。
KBOM のシェル・インターフェイスにより、クラウド・セキュリティ・チームは、環境内のサードパーティ・ツールを包括的に理解できるようになる。この開発の目的は、急増する新しい Kubernetes ツールの脆弱性に、迅速に対応する点にあるという。
必要なのか?
とはいえ、SBOM の規格は他にもたくさんあるので、本当に必要なのかという疑問も生じる。Kubernetes は、コンテナ・デプロイメントのオーケストレーションもおいて、96% 以上の組織で使用されているため、デプロイメント・セキュリティに関するギャップが存在することは明らかだ。結局のところ、Kubernetes のセキュリティ導入率は依然として低く、2022年は 34% となっている。Kubernetes のセキュリティを確保する上での大きな障壁は、環境のスコープを正確に把握できないことである。
KSOCO の CTO である Jimmy Mesta は、「Kubernetes は、私たちが知っている最大級のビジネス・ブランドの多くで、アプリケーションをオーケストレーションしているため、もはや導入しないという言い訳は成り立たない。しかし、セキュリティの観点で考えると、スタンダードやコンプライアンスのガイドラインにおいて、Kubernetes 自体は意図的に話題から外され続け、アプリケーション導入前のアクティビティだけに焦点が当てられ続けている。つまり、コンプライアンス・ガイドラインの議論において、Kubernetes を話題に含めるための第一歩として、この KBOM 規格がリリースされることになった」と述べている。
こうしたニーズに応えるため、KBOM は Kubernetes クラスタの要素を、以下のように簡潔にまとめている:
- ワークロード数
- ホスティング・サービスのコストと種類
- 内部イメージとホスト・イメージにおける脆弱性
- サードパーティ・カスタマイズ (デプロイされたカスタムなリソース/認証/サービスメッシュなど)
- マネージド・プラットフォーム/Kubelet のバージョン詳細など
興味を持ってもらえるだろうか?コントリビューションのために、CLI ツールをダウンロードできる。また、この標準について、詳細を参照することも可能だ。この Apache 2 のオープンソース・プログラムは、GitHub ページからアクセスできる。
2023年の初頭は、SBOM に関する元気の良い話というのは聞かれませんでしたが、2023/04/04 には Docker が、2023/04/06 には GitHub がというふうに、少しずつではありますが、動きが見え始めてきました。また、2023/05/18 の「SBOM360 Hub は新たなプラットフォーム:ソフトウェア流通に関わるステークホルダーを支援」では、SBOM の流通に関する動きも始まっています。なんとなく、楽しみな展開です。よろしければ、SBOM で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.