Güvenilir Güvenlik Açığı İstismar Edilebilirliği eXchange (VEX) belgeleri oluşturmaya yönelik yenilikçi özelliğiyle Kubescape, bu işlevselliği sağlayan ilk açık kaynaklı proje oldu. Bu ilerleme, güvenlik uygulayıcılarına yazılımdaki güvenlik açıklarını etkili bir şekilde önceliklendirmek ve ele almak için güçlü bir araç sunar.
Güvenlik Açığı İstismar Edilebilirlik eXchange’i (VEX) nedir?
Güvenlik Açığı İstismar Edilebilirliği eXchange (VEX), güvenlik açıkları ve bunların istismar potansiyeli hakkındaki bilgilerin paylaşılmasını ve analiz edilmesini kolaylaştıran bir standarttır. VEX belgeleri, kullanıcıları güvenlik açığı bulgularının uygulanabilirliği konusunda bilgilendirerek Yazılım Malzeme Listesini (SBOM’lar) tamamlamada kritik bir bileşen olarak ortaya çıkmıştır.
Güvenilir ve doğru VEX belgelerini bulmak sektörde önemli bir zorluk olmuştur. Ürünlerini en derinlemesine anlayan yazılım satıcıları, istismar edilebilir güvenlik açıklarını değerlendirmek için ideal bir konumdadır. Ancak VEX belgelerini güncel tutmak için gereken sürekli çaba, yaygın olarak benimsenmesini engelledi.
Açık kaynak projeleri, sınırlı kaynaklar ve topluluk katkılarına dayanma nedeniyle daha büyük zorluklarla karşı karşıyadır. Bu projelerin bir parçası olarak ayrıntılı VEX belgelerini tutarlı bir şekilde üretmek zorlu bir iştir. Sonuç olarak VEX belgelerinin çeşitli yazılım ekosistemlerinde pratik uygulaması sınırlı kaldı.
Kubescape’te VEX
Kubescape, güvenlik açığı önceliklendirmesi ve yönetimi için net ve eyleme geçirilebilir sinyaller sağlayan VEX belgelerini otomatik olarak oluşturmak için eBPF tabanlı Kubernetes çalışma zamanı erişilebilirlik yeteneğinden yararlanıyor. Çalışma zamanı sırasında yüklü yazılım paketlerini tespit etmek için eBPF teknolojisini kullanan Kubescape, daha az önemli güvenlik açıkları ile konteyner ortamlarında gerçek risk oluşturan güvenlik açıklarını birbirinden ayırır.
Sürüm 1.16.2’den itibaren Kubescape Operatörü VEX belgeleri üretir ve bunları Kubernetes API nesneleri olarak saklar. Bu VEX belgeleri OpenVEX standardını takip eder ve güvenlik açıklarını erişilebilirliklerine göre “etkilenen” veya “etkilenmeyen” olarak sınıflandırır. Bu ayrım, güvenlik uygulayıcılarının gerçek bir risk oluşturan güvenlik açıklarına odaklanmasına olanak tanır ve güvenlik açığı taraması sonuçlarının sinyal-gürültü oranını önemli ölçüde artırır.
Kubescape tarafından oluşturulan VEX belgelerinin Grype ve Trivy gibi açık kaynaklı güvenlik açığı tarayıcılarıyla entegre edilmesi, güvenlik açığı yönetimi yeteneklerini geliştirir. Kubescape, daha kesin sonuçlar sağlayarak kullanıcıların sistemlerine zarar verebilecek güvenlik açıklarını önceliklendirmesine ve ele almasına olanak tanır.
ARMO’nun CTO’su ve kurucu ortağı ve Kubescape projesinin sürdürücüsü Ben Hirschberg, “VEX belgeleri üreten ilk açık kaynaklı proje olmaktan heyecan duyuyoruz” dedi. “Misyonumuz, güvenlik açığı yönetimini basitleştirmek ve güvenlik uygulayıcılarına bilinçli kararlar almalarını sağlayacak araçları sağlamaktır. Kubescape’in VEX oluşturma yeteneği sayesinde kuruluşların güvenlik açığı taramalarının sonuçlarını basitleştirmesine ve gerçekten önemli olan güvenlik açıklarına odaklanmasına olanak sağlıyoruz.”
Kubescape GitHub’dan ücretsiz olarak indirilebilir.
Göz önünde bulundurulması gereken daha fazla açık kaynak araç: