Container Security

Software-Entwicklung ohne Container - heutzutage kaum mehr vorstellbar. Softwaresicherheit und Software Supply Chain Risk Management gewinnen immer mehr an Bedeutung.

In den beiden Talks von ConSol und Partner SUSE geht es um SBOM zur Absicherung der Softwarelieferkette und die Container-Sicherheitsplattform NeuVector.

Das anschließende Get Together bietet in lockerer Atmosphäre Raum für den weiteren Austausch. Pizza und Bier fehlen natürlich auch nicht ;)

Agenda

17:00 – 18:00: Networking (Teilnahme optional)

18:00 – 18:45: SBOM als Baustein für Supply Chain Security / Dr. Marco Bungart (ConSol Consulting & Solutions Software GmbH)

Wenn wir über Supply Chain Security sprechen, dann möchten wir alle Komponenten unserer Artefakte betrachten. Auf Quellcode-Ebene haben wir hier breite sprachspezifische Tools, wie beispielsweise gradle, maven und npm, die sprachspezifische Abhängigkeiten auflösen und verwalten. In einer cloud-nativen Umgebung gehört hier jedoch mehr dazu: die Software läuft innerhalb eines Containers; der Container beinhaltet ebenfalls Software-Komponenten - beispielsweise native Bibliotheken. Diese Komponenten können von den sprachspezifischen Tools nicht erfasst werden.
SBOM als Format erlaubt die Erfassung aller Software-Komponenten; seien es sprachspezifische Bibliotheken, oder Bibliotheken, die Teil eines Container-Images bilden. Dieses Format eignet sich also, um die Software-Komponenten eines Containers ganzheitlich zu betrachten.
In diesem Vortrag besprechen wir die Grundlagen von SBOMs, deren Erstellung, Verwaltung, Auswertung und Distribution. Zur Erstellung von SBOMs schauen wir das Command-line tool syft von Anchore. Für die Auswertung der SBOMs betrachten wir grype von Anchore sowie dependency-track als webbasierte UI. Zum Signieren von SBOMs nutzen wir cosign von Sigstore. Wir sehen, wie wir die erstellten SBOMs als Produzent eines container images verteilen und als Konsument eines Images validieren können.

18:45 – 19:15: Pause (Pizza & Bier)

19:15 – 20:00: NeuVector: Container Sicherheit kommt von innen / Thore Bahr (SUSE)
Die Einführung von Container-Technologien auf Basis von Kubernetes bedeutet nicht nur neue Herausforderungen im Bereich Betrieb und Anwendungsentwicklung. Auch die Sicherheitssysteme müssen mit der neuen Plattform umgehen können – klassische Methoden reichen nicht mehr aus und müssen erweitert werden, damit das Konzept von DevOps auch im Sicherheitskonzept einbezogen werden kann. Sicherheit kommt dabei immer von innen – ein effektiver Schutz muss Teil des Kubernetes Clusters werden.
NeuVector stellt sich dieser Herausforderung – in diesem Vortrag will ich das OpenSource Tool vorstellen und darstellen, wie sowohl bekannte als auch unbekannte Angriffs-Szenarien mit Hilfe dieser Lösung abgesichert werden können.
Abrunden werden wir den Vortrag mit einem Ausblick auf die Multi Cluster Management Lösung Rancher, um zu sehen, wie das Thema Security auch auf eine größere Anzahl von Clustern erweitert werden kann.

20:00 – 22:00: Get Together

Während des Meetups werden Fotos/Videos für unsere Social Media Kanäle gemacht. Bitte geben Sie Bescheid, falls Sie dies nicht wünschen.