Google推出可用来保护容器供应链的工具Voucher

2020-11-26 514 收藏

Google云用户现可以使用容器供应链安全工具 Voucher ，确保部署到生产环境代码的安全性。Voucher是由电子商务公司Shopify所开发，可在Google云评估CI/CD所创建的容器镜像，并仅于满足预先定义的安全标准下，才给予这些镜像签章，二进制授权（Binary Authorization ）会在部署时验证签章，确保符合组织策略和要求的代码，才能部署到生产环境中。

不少开发人员使用Kubernetes建构可扩展应用，但Google提到，要安全的进行扩展，必须要在应用供应链加入治理能力，包括托管安全基础镜像、容器Registry漏洞扫描，以及二进制授权等，才能保证大量部署的代码品质。

而Voucher则可以补齐二进制授权工具链，让用户保护应用供应工作管线，Voucher是一个开源工具，遵守元数据服务器Grafeas规范，其生成的签章，可供二进制授权或是Kubernetes策略引擎Kritis使用。

使用者可在镜像构建之后，在生产部署之前，于CI/DC工作管线呼叫Voucher，Voucher会从镜像库中，撷取新构建的镜像，并且进行用户要求的所有检查，一旦通过检查，Voucher便会为该镜像产生证明，这些证明会被推送到元数据服务器中，供Kritis进行验证。

Voucher让基础设施工程师，可以使用二进制授权来强制实施安全需求，例如限制镜像出处，或阻挡易受攻击的镜像，仅能使用目前没有任何已知漏洞的镜像等。Shopify资深基础设施安全工程师Cat Jones提到，Shopify每天要交付超过8,000个应用版本，并维护内含330,000个容器的Registry表，因此Shopify和Google一起设计了Voucher，以便用安全且全面的方法，来验证要交付到生产环境的镜像。

结合Voucher、具漏洞扫描功能的容器镜像以及二进制授权，用户能以多层安全政策，来防护生产系统，并且尽可能减少对交付速度的影响。不过，Google提醒，为了避免特权升级的问题，签章步骤应该托管在CI/CD工作管线之外，虽然这样会给DevOps团队带来大量的负担，但是Voucher能够自动化进行大部分的设定，用户仅需要在二进制授权中指定签章策略。

现在使用者已经可以在Google云中使用Voucher，可以选择从GitHub中下载，或从Google云市场中安装快速部署版本。

参考：

https://www.ithome.com.tw/news/141210

END

---

Kubernetes CKA实战培训班推荐：

北京：12月18-20日

本文分享自微信公众号 - K8S中文社区（k8schina）。
如有侵权，请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”，欢迎正在阅读的你也加入，一起分享。

上一篇 下一篇

微信关注我们

原文链接：https://my.oschina.net/u/4586894/blog/4750084

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

以 Kubernetes 为代表的容器技术，已成为云计算的新界面

来源 | 阿里巴巴云原生公众号 作者 | 志敏、智清 2020 年 双11，阿里核心系统实现了全面云原生化，扛住了史上最大流量洪峰，向业界传达出了“云原生正在大规模落地”的信号。这里包含着诸多阿里 "云原生的第一次”，其中非常关键的一点是 80% 核心业务部署在阿里云容器 ACK 上，可在 1 小时内扩展超百万容器。 可以说，以 Kubernetes 为代表的容器技术正成为云计算新界面。容器提供了应用分发和交付标准，将应用与底层运行环境进行解耦。Kubernetes 作为资源调度和编排的标准，屏蔽底层架构差异性，帮助应用平滑运行在不同基础设施上。CNCF Kubernetes 的一致性认证，进一步确保不同云厂商 Kubernetes 实现的兼容性，这也让更多的企业愿意采用容器技术来构建云时代的应用基础设施。 云原生容器新界面的崛起 作为容器编排的事实标准，Kubernetes 支持 IaaS 层不同类型的计算、存储、网络等能力，不论是 CPU、GPU、FPGA 还是专业的 ASIC 芯片，都可以统一调度、高效使用异构算力的资源，同时完美支撑各种开源框架、语言和各类型应用。 伴随着 Ku...

2020-11-26

439

上一篇

深度学习中的图像分割：方法和应用

点击上方“AI公园”，关注公众号，选择加“星标“或“置顶” 作者：missinglink.ai 编译：ronghuaiyang 导读 介绍使图像分割的方法，包括传统方法和深度学习方法，以及应用场景。 基于人工智能和深度学习方法的现代计算机视觉技术在过去10年里取得了显著进展。如今，它被用于图像分类、人脸识别、图像中物体的识别、视频分析和分类以及机器人和自动驾驶车辆的图像处理等应用上。 许多计算机视觉任务需要对图像进行智能分割，以理解图像中的内容，并使每个部分的分析更加容易。今天的图像分割技术使用计算机视觉深度学习模型来理解图像的每个像素所代表的真实物体，这在十年前是无法想象的。 深度学习可以学习视觉输入的模式，以预测组成图像的对象类。用于图像处理的主要深度学习架构是卷积神经网络(CNN)，或者是特定的CNN框架，如AlexNet、VGG、Inception和ResNet。计算机视觉的深度学习模型通常在专门的图形处理单元(GPU)上训练和执行，以减少计算时间。 什么是图像分割？ 图像分割是计算机视觉中的一个关键过程。它包括将视觉输入分割成片段以简化图像分析。片段表示目标或目标的一部分，并...

2020-11-25

578

下一篇

相关文章

发表评论

发表

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

时间: 2025-12-03 大小: 4.36MB 下载: 23次

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

时间: 2025-12-12 大小: 211.28KB 下载: 54次

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

时间: 2025-12-17 大小: 1.42GB 下载: 1次

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。

时间: 2025-12-03 大小: 9.84MB 下载: 39次