به ،وان تامین نرم افزار حملات زنجیرهای به،وان یک تهدید روزمره ظاهر شدهاند، جایی که بازیگران بد مرحلهای از فرآیند توسعه یا توزیع را مسموم میکنند، صنعت فناوری زنگ هشداری در مورد نیاز به ایمن ، هر حلقه در زنجیره داشته است. اما در واقع اجرای بهبودها چالش برانگیز است، به ویژه برای ا،یستم توسعه ابر منبع باز گسترده. حالا شرکت امنیتی نگهبان زنجیر می گوید راه حل ایمن تری برای یک جزء همه جا حاضر اما مدت ها نادیده گرفته شده دارد.
«ثبتهای کانتینر» نوعی فروشگاه اپلیکیشن یا خانه تسویه حساب است که در آن توسعهدهندگان «تصاویری» از کانتینرهای ابری را بارگذاری میکنند که هر کدام یک برنامه نرمافزاری متفاوت را در خود نگه میدارند. سرویسهای ابری که هر روز استفاده میکنید به طور مداوم و بیصدا در رجیستریهای کانتینر برای دسترسی به برنامهها پیمایش میکنند، اما این رجیستریها اغلب تنها با رمز عبوری که میتواند گمشده، دزدیده یا حدس زده شود، امنیت ضعیفی دارند. این اغلب به این م،ی است که افرادی که نباید به یک تصویر ظرف معین دسترسی داشته باشند، می توانند آن را دانلود کنند یا بدتر از آن، می توانند تصاویری را که ممکن است م،ب باشند در رجیستری آپلود کنند. رجیستری تصویر کانتینر جدید Chainguard قصد دارد این حفره باطنی اما فراگیر را مسدود کند.
Dan Lorenc، مدیر عامل Chainguard و محقق قدیمی امنیت زنجیره تامین نرمافزار، میگوید: «تقریباً هر اتفاق بد ممکنی با رجیستری کانتینر رخ داده است که میتو،د تصور کنید. افرادی که گذرواژهها را گم میکنند، افرادی که ب،زار را عمدا فشار میدهند، افرادی که فراموش میکنند موارد را بهروزرس، کنند. صنعت مدتهاست که از آن استفاده میکند – همه سرگرم بودند، کد حمل و نقل داشتند و هیچ، به عواقب بلندمدت فکر نمیکرد.
محققان Chainguard میگویند که مدتهاست به توسعه رجیستری با طراحی دقیقتر فکر کردهاند، بهویژه رجیستری که از شر رمزهای عبور خلاص میشود و در عوض از یک رویکرد ثبتنام واحد برای کنترل دسترسی به رجیستری استفاده میکند. به این ترتیب، یک رجیستری می تواند به گونه ای طراحی شود که در صورت نیاز در دسترس یا قفل باشد و تنها افرادی که وارد حساب های دیگر مانند سرویس های هویت شرکتی یا حساب های Google شده اند و سپس به طور خاص مجاز هستند می توانند با رجیستری تعامل داشته باشند.
جیسون هال، مهندس نرمافزار Chainguard میگوید: «رجیستری کانتینر یک حلقه ضعیف بوده است. آنها بسیار خسته کننده هستند، بسیار استاندارد. این نرم افزاری است که برای ارائه نرم افزار به نرم افزار متکی است. ما باید بهتر عمل کنیم و از شر رمزهای عبور خلاص شویم تا با رجیستری صحبت کنیم و بتو،م به رجیستری فشار بیاوریم.”
با این حال، محدودیت بزرگ در استقرار سیستمی مانند این هزینه بوده است. اجرای یک رجیستری کانتینر معمولاً به دلیل «هزینه ،وج» بسیار گران است. به عبارت دیگر، ارائهدهندگان ابری برای بارگذاری دادهها در فضای ابری از مشتریان سازم، هزینهای دریافت نمیکنند، اما هر بار که شخصی دادهها را دانلود میکند، هزینهای از آنها دریافت میکنند. بنابراین، اگر رجیستریهای کانتینر مانند یک فروشگاه اپلیکیشن هستند که در آن همه برای دانلود تصاویر کانتینر میآیند، هزینههای ،وج میتواند واقعاً خیلی سریع افزایش یابد. این کار بر روی بازنگری مجدد امنیت ثبت کانتینرها بی انگیزه شد زیرا هیچ ، نمی خواست هزینه های مربوط به ارائه جایگزین ایمن تر را متقبل شود.
موفقیت Chainguard زم، رخ داد که شرکت زیرساخت اینترنتی Cloudflare اعلام کرد در دسترس بودن عمومی سرویس R2 Storage آن در سپتامبر. هدف این محصول ارائه هزینه های ،وج کاهش یافته به مشتریان Cloudflare و حتی بدون هزینه برای داده هایی است که به ندرت دانلود می شوند. هنگامی که R2 به ،وان یک گزینه ظاهر شد، محققان Chainguard همه چیز مورد نیاز خود را برای پیشبرد یک رجیستری امن تر در اختیار داشتند.
منبع: https://www.wired.com/story/container-registry-security-chainguard/