Yazılım kaynağı olarak zincirleme saldırılar, kötü aktörlerin geliştirme veya dağıtım sürecindeki bir adımı zehirlediği günlük bir tehdit olarak ortaya çıktı, teknoloji endüstrisi, zincirdeki her bir halkayı güvence altına alma ihtiyacı konusunda bir uyarı mesajı aldı. Ancak iyileştirmeleri uygulamak, özellikle genişleyen açık kaynaklı bulut geliştirme ekosistemi için zordur. Şimdi, güvenlik şirketi Chainguard, her yerde bulunan ancak uzun süredir gözden kaçan bir bileşen için daha güvenli bir çözüme sahip olduğunu söylüyor.
“Kapsayıcı kayıtları”, geliştiricilerin her biri farklı bir yazılım programı içeren bulut kapsayıcılarının “görüntülerini” yüklediği bir tür uygulama mağazası veya takas odasıdır. Her gün kullandığınız bulut hizmetleri, uygulamalara erişmek için konteyner kayıtlarında sürekli ve sessizce geziniyor, ancak bu kayıtlar genellikle yalnızca kaybolabilecek, çalınabilecek veya tahmin edilebilecek bir parola ile zayıf bir şekilde korunuyor. Bu genellikle, belirli bir kapsayıcı görüntüsüne erişimi olmaması gereken kişilerin onu indirebileceği veya daha da kötüsü kayıt defterine kötü amaçlı olabilecek görüntüleri yükleyebileceği anlamına gelir. Chainguard’ın yeni kapsayıcı görüntü kaydı, bu ezoterik ancak yaygın deliği kapatmayı hedefliyor.
Chainguard’ın CEO’su ve uzun süredir yazılım tedarik zinciri güvenliği araştırmacısı olan Dan Lorenc, “Konteyner kayıtlarında hayal edebileceğiniz hemen hemen her kötü şey oldu” diyor. “Parolalarını kaybeden insanlar, kasıtlı olarak kötü amaçlı yazılım gönderen insanlar, bir şeyleri güncellemeyi unutan insanlar. Endüstri bunu uzun zamandır kullanıyor – herkes eğleniyordu, nakliye koduydu ve kimse uzun vadeli sonuçları düşünmüyordu.
Chainguard araştırmacıları, özellikle parolalardan kurtulan ve bunun yerine kayıt defteri erişimini kontrol etmek için tek oturum açma yaklaşımı kullanan, daha dikkatli tasarlanmış bir kayıt defteri geliştirmeyi uzun süredir düşündüklerini söylüyorlar. Bu şekilde, bir kayıt defteri gerektiği kadar erişilebilir veya kilitli olacak şekilde tasarlanabilir ve yalnızca kurumsal kimlik hizmetleri veya Google hesapları gibi diğer hesaplarda oturum açmış ve ardından özel olarak yetkilendirilmiş kişiler kayıt defteriyle etkileşim kurabilir.
Chainguard yazılım mühendisi Jason Hall, “Konteyner kayıtları zayıf bir halka oldu” diyor. “Oldukça sıkıcı, oldukça standartlar. Bu, yazılımı teslim etmek için yazılıma dayanan bir yazılımdır. Kayıt defteriyle konuşmak ve kayıt defterine baskı yapabilmek için daha iyisini yapmalı ve şifrelerden kurtulmamız gerekiyor.”
Ancak bunun gibi bir sistemin konuşlandırılmasındaki en büyük sınırlama maliyet olmuştur. Bir kapsayıcı kayıt defteri çalıştırmak, “çıkış ücretleri” nedeniyle genellikle çok pahalı hale gelir. Başka bir deyişle, bulut sağlayıcıları kurumsal müşterilerinden verileri buluta yüklemeleri için ücret almazlar, ancak birisi verileri her indirdiğinde ücret alırlar. Dolayısıyla, konteyner kayıtları, herkesin konteyner görüntülerini indirmeye geldiği bir uygulama mağazası gibiyse, çıkış ücretleri çok hızlı bir şekilde çok yüksek olabilir. Konteyner kayıtlarının güvenliğini elden geçirmeye yönelik bu çalışma caydırıcıydı çünkü kimse daha güvenli bir alternatif sunmanın getirdiği maliyeti üstlenmek istemiyordu.
Chainguard için atılım, internet altyapı şirketi Cloudflare’nin Eylül ayında R2 Storage hizmetinin genel kullanılabilirliğini duyurmasıyla geldi. Ürünün amacı, Cloudflare müşterilerine indirimli çıkış ücretleri sunmak ve hatta nadiren indirilen veriler için ücret bile almamaktır. R2 bir seçenek olarak ortaya çıktığında, Chainguard araştırmacıları daha güvenli bir kayıtla ilerlemek için ihtiyaç duydukları her şeye sahipti.