議程簡介

10/20(星期三) 16:20 - 17:05

Peek into Secure Software Supply Chain for Kubernetes

CI/CD 容器資安 中階 中文

2021/05 美國境內負責原油輸送的 Colonial Pipeline 的 IT 系統,遭受到了勒索病毒的攻擊與癱瘓,美國白宮於同月,立即發布了軟體安全性相關規範的執行命令 (EO14028),要求未來公家單位所使用的關鍵軟體均能於 2022/05 前符合其要求。

許多人可能以為,是不是容器鏡像在弱掃時,沒有發現 Medium 或以上的弱點就夠了呢?其實此次的軟體安全性,除了 Vulnerability 外,還一併要求軟體符合安全開發的相關實踐並保證軟體的完整性等。這些的實踐,Google 與 Open Source Security Foundation (OSSF) 連袂推動了 SLSA (Software Supply Chain Levels for Software Artifacts) 的軟體開發安全框架,以近年來的八個嚴重的資安事件 (e.g. SolarWind & CodeCov 等),來確認安全框架的可行性。同時提供多個開源專案供企業無償使用。 

在這個Session中,我們希望通過40分鐘的時間,跟與會聽眾分享在雲原生應用上 (Cloud Native Application) 建議執行的相關資安管控,並將其以 SLSA 架構,建構企業內完整的容器資安開發機制,落實在日常生活中。

何宗憲  (Shawn Ho)
何宗憲 (Shawn Ho)
Google
Customer Engineer
講者簡介

Shawn 喜歡所有能加速企業 Time-to-Market 的自動化技術.在加入 IT 不歸路之前,是個宅開發者。加入 IT 後,專注在軟體定義運算、網路、存儲。在 Kubernetes 問世後,更沉迷在宣告式自動化的好處中,開始自詡為 K8S 愛好者,也開始加入 K8S 的創始者 Google 陣營繼續鑽研相關技術。最近迷上 Google SRE 的概念與實作,座右銘:「 Show but Dont Tell」