您现在的位置是：首页 > 文章详情

Google推出可用来保护容器供应链的工具Voucher

日期：2020-11-26点击：450收藏

Google云用户现可以使用容器供应链安全工具 Voucher ，确保部署到生产环境代码的安全性。Voucher是由电子商务公司Shopify所开发，可在Google云评估CI/CD所创建的容器镜像，并仅于满足预先定义的安全标准下，才给予这些镜像签章，二进制授权（Binary Authorization ）会在部署时验证签章，确保符合组织策略和要求的代码，才能部署到生产环境中。

不少开发人员使用Kubernetes建构可扩展应用，但Google提到，要安全的进行扩展，必须要在应用供应链加入治理能力，包括托管安全基础镜像、容器Registry漏洞扫描，以及二进制授权等，才能保证大量部署的代码品质。

而Voucher则可以补齐二进制授权工具链，让用户保护应用供应工作管线，Voucher是一个开源工具，遵守元数据服务器Grafeas规范，其生成的签章，可供二进制授权或是Kubernetes策略引擎Kritis使用。

使用者可在镜像构建之后，在生产部署之前，于CI/DC工作管线呼叫Voucher，Voucher会从镜像库中，撷取新构建的镜像，并且进行用户要求的所有检查，一旦通过检查，Voucher便会为该镜像产生证明，这些证明会被推送到元数据服务器中，供Kritis进行验证。

Voucher让基础设施工程师，可以使用二进制授权来强制实施安全需求，例如限制镜像出处，或阻挡易受攻击的镜像，仅能使用目前没有任何已知漏洞的镜像等。Shopify资深基础设施安全工程师Cat Jones提到，Shopify每天要交付超过8,000个应用版本，并维护内含330,000个容器的Registry表，因此Shopify和Google一起设计了Voucher，以便用安全且全面的方法，来验证要交付到生产环境的镜像。

结合Voucher、具漏洞扫描功能的容器镜像以及二进制授权，用户能以多层安全政策，来防护生产系统，并且尽可能减少对交付速度的影响。不过，Google提醒，为了避免特权升级的问题，签章步骤应该托管在CI/CD工作管线之外，虽然这样会给DevOps团队带来大量的负担，但是Voucher能够自动化进行大部分的设定，用户仅需要在二进制授权中指定签章策略。

现在使用者已经可以在Google云中使用Voucher，可以选择从GitHub中下载，或从Google云市场中安装快速部署版本。

参考：

https://www.ithome.com.tw/news/141210

END

Kubernetes CKA实战培训班推荐：

北京：12月18-20日