La seguridad de la cadena de suministro de software va a ser un área de gran interés en 2022. Las organizaciones lo abordarán, en parte, siguiendo el modelo shift left de seguridad de diferente manera. Históricamente, el modelo shift left de seguridad giraba en torno al análisis de vulnerabilidades. Sin embargo, el análisis de vulnerabilidades como parte del desarrollo no es suficiente y las organizaciones necesitan proteger su cadena de suministro de software de las intrusiones. Para ello, veremos inversiones en la adopción de nuevas tecnologías en los pipelines, como las cadenas de Tekton CD, así como Sigstore para facilitar la incorporación de la firma en el pipeline.

Empezaremos a ver un cambio en la forma en que las organizaciones protegen las aplicaciones en el momento del despliegue. Esto ya se está produciendo con un cambio hacia un enfoque más simple en el propio Kube llamado controles out-of-tree. Seguiremos viendo el crecimiento en torno a la gestión del despliegue basado en políticas utilizando herramientas como OPA Gatekeeper, Kyverno y Argo CD. También hay que estar atentos a los nuevos motores de políticas que no hemos visto antes.

Habrá un mayor interés en las listas de materiales de software (SBOM). Las propuestas de estándares sobre la entrega de listas de materiales de software existen desde hace tiempo, pero debido a la preocupación por la seguridad de la cadena de suministro de software hemos llegado a un punto en el que todas las organizaciones van a tener que averiguar cómo entregar una lista de materiales de software. En el sector se debatirá sobre la información estática de las listas de materiales frente a la información dinámica, como los datos sobre vulnerabilidad, en los que el paquete no ha cambiado, pero sí las vulnerabilidades asociadas a ese paquete. En relación con esto, la automatización en torno a las listas de materiales y los metadatos relacionados con los paquetes van a crecer considerablemente.

Las distribuciones de Kubernetes empezarán a añadir más capacidades de seguridad directamente en sus distribuciones. Esto ayudará a mejorar la seguridad general de la distribución y también ayudará a reducir el coste de asegurar un despliegue de Kubernetes.

About Author

Avatar

director, cloud and DevSecOps strategy, Red Hat

Deja un comentario