.
Como cadeia de suprimentos de software os ataques emergiram como uma ameaça cotidiana, em que agentes mal-intencionados envenenam uma etapa do processo de desenvolvimento ou distribuição, a indústria de tecnologia recebeu um alerta sobre a necessidade de proteger cada elo da cadeia. Mas, na verdade, implementar melhorias é um desafio, especialmente para o amplo ecossistema de desenvolvimento de nuvem de código aberto. Agora, a empresa de segurança Chainguard diz que tem uma solução mais segura para um componente onipresente, mas há muito esquecido.
“Registros de contêineres” são como lojas de aplicativos ou câmaras de compensação onde os desenvolvedores carregam “imagens” de contêineres de nuvem, cada um contendo um programa de software diferente. Os serviços de nuvem que você usa todos os dias estão navegando constantemente e silenciosamente nos registros de contêiner para acessar aplicativos, mas esses registros geralmente são mal protegidos com apenas uma senha que pode ser perdida, roubada ou adivinhada. Isso geralmente significa que as pessoas que não deveriam ter acesso a uma determinada imagem de contêiner podem baixá-la ou, pior ainda, podem fazer upload de imagens para o registro que podem ser maliciosas. O novo registro de imagem de contêiner da Chainguard visa preencher esse buraco esotérico, mas generalizado.
“Praticamente todas as coisas ruins que você pode imaginar aconteceram com os registros de contêineres”, diz Dan Lorenc, CEO da Chainguard e pesquisador de segurança da cadeia de suprimentos de software de longa data. “Pessoas perdendo senhas, pessoas enviando malware de propósito, pessoas esquecendo de atualizar coisas. A indústria meio que está usando isso há muito tempo – todo mundo estava se divertindo, código de envio – e ninguém estava pensando nas consequências de longo prazo.”
Os pesquisadores da Chainguard dizem que há muito consideram o desenvolvimento de um registro mais cuidadosamente projetado, particularmente um que elimine as senhas e, em vez disso, use uma abordagem de logon único para controlar o acesso ao registro. Dessa forma, um registro pode ser projetado para ser tão acessível ou bloqueado quanto necessário, e somente pessoas que estão conectadas a outras contas, como serviços de identidade corporativa ou contas do Google, e especificamente autorizadas podem interagir com o registro.
“Os registros de contêineres têm sido um elo fraco”, diz Jason Hall, engenheiro de software da Chainguard. “Eles são bem chatos, bem normais. Este é um software que depende de software para entregar software. Precisamos fazer melhor e nos livrar das senhas para falar com o registro e poder enviar para o registro.”
A grande limitação na implantação de um sistema como esse, porém, tem sido o custo. A execução de um registro de contêiner geralmente fica muito cara por causa das “taxas de saída”. Em outras palavras, os provedores de nuvem não cobram dos clientes corporativos pelo upload de dados na nuvem, mas cobram toda vez que alguém baixa os dados. Portanto, se os registros de contêineres forem como uma loja de aplicativos onde todos vêm para baixar imagens de contêineres, as taxas de saída podem ficar muito altas, muito rápido. Isso desincentivou o trabalho de revisão da segurança dos registros de contêineres, porque ninguém queria arcar com o custo associado à oferta de uma alternativa mais segura.
O avanço para Chainguard veio quando a empresa de infraestrutura de internet Cloudflare anunciou a disponibilidade geral de seu serviço R2 Storage em setembro. O objetivo do produto é oferecer taxas de saída reduzidas aos clientes da Cloudflare e até mesmo nenhuma taxa para dados que são baixados com pouca frequência. Uma vez que o R2 surgiu como uma opção, os pesquisadores da Chainguard tinham tudo o que precisavam para avançar com um registro mais seguro.
.
