CNCF và Kusari Hợp Tác Tăng Cường Bảo Mật Chuỗi Cung Ứng Phần Mềm Cloud-Native

CNCF và Kusari Hợp Tác Tăng Cường Bảo Mật Chuỗi Cung Ứng Phần Mềm Cloud-Native

Cloud Native Computing Foundation (CNCF) và Kusari đã công bố một sự hợp tác mới nhằm tăng cường bảo mật chuỗi cung ứng phần mềm trên các dự án cloud-native. Theo thỏa thuận này, các dự án được CNCF lưu trữ sẽ được tiếp cận miễn phí các công cụ bảo mật sử dụng AI của Kusari, giúp các nhà bảo trì và người đóng góp quản lý tốt hơn hệ sinh thái phụ thuộc ngày càng phức tạp.

Thách thức về bảo mật trong hệ sinh thái Cloud-Native

Sự hợp tác này tập trung vào việc cung cấp quyền truy cập vào Kusari Inspector cho các dự án của CNCF. Đây là một công cụ kết hợp giữa việc đánh giá mã nguồn hỗ trợ bởi AI và phân tích các phụ thuộc (dependency analysis) để xác định rủi ro trên cả các phụ thuộc trực tiếp và gián tiếp.

Các ứng dụng hiện đại ngày càng phụ thuộc vào hàng trăm, thậm chí hàng nghìn thành phần kết nối với nhau. Khi mã nguồn được tạo ra bởi AI trở nên phổ biến hơn, việc có cái nhìn toàn diện (visibility) về toàn bộ chuỗi cung ứng phần mềm trở nên khó khăn nhưng cũng quan trọng hơn bao giờ hết.

Thông báo này nhấn mạnh một thách thức ngày càng lớn đối với hệ sinh thái cloud-native: chuỗi cung ứng phần mềm đang mở rộng về quy mô và độ phức tạp, tạo ra các bề mặt tấn công mới và rủi ro vận hành. Nhiều phụ thuộc được kéo vào tự động thông qua các mối quan hệ gián tiếp, khiến các nhà bảo trì khó hiểu rõ những gì thực sự được bao gồm trong phần mềm của họ.

Đồng thời, những kẻ tấn công ngày càng nhắm vào các chuỗi cung ứng này thông qua các kỹ thuật như dependency confusion (nhầm lẫn phụ thuộc), tiêm các gói độc hại và khai thác các điều khiển nguồn gốc (provenance controls) yếu kém.

Dịch chuyển bảo mật sang trái (Shift Left)

Đối với các dự án mã nguồn mở, thường được bảo trì bởi các nhóm nhỏ và hạn chế về nguồn lực, sự phức tạp này càng trở nên gay gắt hơn do các công cụ phân tán và khả năng quan sát hạn chế. Ngay cả khi sử dụng nhiều công cụ bảo mật, các nhóm thường thiếu cái nhìn thống nhất và có ngữ cảnh về rủi ro trên toàn bộ chuỗi cung ứng, khiến việc ưu tiên và khắc phục lỗ hổng trở nên khó khăn hiệu quả.

Trọng tâm của sáng kiến Kusari-CNCF là dịch chuyển bảo mật "sang trái" bằng cách nhúng nó trực tiếp vào quy trình làm việc của nhà phát triển. Kusari Inspector cung cấp phản hồi trực tiếp (inline feedback) trong quá trình pull request, ánh xạ các phụ thuộc, xác định các khoảng trống trong nguồn gốc và xác thực (attestations), cũng như phát hiện rủi ro ở giai đoạn đầu của vòng đời phát triển.

Phương pháp này phản ánh xu hướng rộng rãi hơn của ngành công nghệ, chuyển từ các quy trình bảo mật phản ứng sang các thực hành bảo mật chủ động, tích hợp vào quy trình làm việc. Bằng cách bắt gặp các vấn đề sớm hơn và cung cấp thông tin chi tiết có ngữ cảnh, nền tảng này nhằm giảm bớt gánh nặng cho các nhà bảo trì, giảm thiểu điều tra thủ công và cho phép phân phối phần mềm nhanh hơn, an toàn hơn.

Tích hợp với hệ sinh thái bảo mật mã nguồn mở

Sáng kiến này xây dựng dựa trên các nỗ lực hiện có trong hệ sinh thái bảo mật cloud-native và mã nguồn mở, bao gồm các dự án như Supply-chain Levels for Software Artifacts (SLSA) và các công cụ như GUAC, in-toto và OpenVEX, những dự án đang áp dụng Kusari Inspector. Các dự án này tập trung vào việc cải thiện nguồn gốc, tính minh bạch và niềm tin trên chuỗi cung ứng phần mềm — những trụ cột chính trong các chiến lược bảo mật hiện đại.

Bằng cách tích hợp với các nỗ lực này, sự hợp tác nhằm cung cấp cách tiếp cận nhất quán và dễ tiếp cận hơn đối với bảo mật chuỗi cung ứng, cho phép các dự án chuyển từ các công cụ phân tán sang khả năng quan sát và quản trị kết nối trên toàn hệ sinh thái.

Trong bối cảnh rộng lớn hơn, sự hợp tác này tương đồng với các nỗ lực từ các tổ chức khác tập trung vào việc cải thiện bảo mật chuỗi cung ứng phần mềm, mặc dù có các cách tiếp cận và mức độ tích hợp khác nhau. Ví dụ, Snyk và GitHub (thông qua GitHub Advanced Security) nhấn mạnh các công cụ bảo mật ưu tiên nhà phát triển, nhúng quét lỗ hổng, thông tin chi tiết về phụ thuộc và phân tích mã trực tiếp vào quy trình làm việc của họ. Các nền tảng này được áp dụng rộng rãi và cung cấp khả năng quan sát tốt về các lỗ hổng đã biết, nhưng chúng thường tập trung nhiều hơn vào việc phát hiện và khắc phục thay vì toàn bộ vòng đời của nguồn gốc, xác thực và các đảm bảo niềm tin mà các sáng kiến như Kusari đang nhắm tới.

Ở cấp độ hệ sinh thái, các nỗ lực như OpenSSF và SLSA đã đề cập ở trên tiếp cận theo hướng dựa trên tiêu chuẩn, xác định các phương pháp tốt nhất cho tính toàn vẹn của bản dựng, nguồn gốc và xác minh hiện vật. Tương tự, các công cụ như Sigstore tập trung vào việc ký và xác minh mật mã để đảm bảo niềm tin về hiện vật. So với những cái này, sáng kiến CNCF-Kusari định vị mình như một lớp tích hợp và dễ tiếp cận hơn, kết hợp thông tin chi tiết hỗ trợ bởi AI với khả năng quan sát chuỗi cung ứng và nhúng chúng trực tiếp vào quy trình làm việc của nhà phát triển.