最近,我抓住机会与 Aqua Security 的 Itay Shakury 讨论了开源和安全挑战。接下来是一场关于当前问题、未来以及解决当今首席信息安全官 (CISO) 担忧的特定云原生工具的精彩讨论。
Itay,你能向我们的读者介绍一下你自己吗?
我是 Itay Shakury,Aqua Security 的开源主管。 我在科技领域拥有近 20 年的经验,涉及工程、软件架构、IT、产品管理、咨询等多个领域。 近年来,我的职业道路将我引向了云原生技术和开源软件。
请介绍一下 Aqua Security 以及它试图解决哪些问题?
Aqua 正在引领云安全,其集成的云原生应用程序保护平台 (CNAPP) 在整个应用程序生命周期中提供预防、检测和响应自动化。 我们的解决方案套件使组织能够保护供应链、云基础设施和正在运行的工作负载。 Aqua 的开源项目系列是一个可访问的切入点,使任何人都可以立即免费开始使用云原生安全,同时推动我们商业产品的创新。
作为 Aqua Security 的开源主管,您的主要职责是什么?
我的主要职责是制定和执行开源战略。 该战略包括改进 OSS 项目的路线图,确定用于参与的社区倡议,以及使开源对于商业用途可行。 作为一名工程经理,我领导着 Aqua 的开源团队。 我们的 OSS 团队在全球范围内分布,并且以远程优先。 这群才华横溢的开源工程师正在将我们的 OSS 愿景变为现实,我很幸运能够成为其中的一员。
公司在保护 Kubernetes 方面面临哪些挑战? 他们应该如何解决这个问题?
一项挑战是解决整个应用程序生命周期的安全性。 在过去的几年里,越来越多的责任被放在开发人员手中,尤其是在 Kubernetes 和云原生技术方面。 我们在质量、运营、支持和安全等不同领域都看到了这一点。 这种“左移”方法在开发生命周期的早期(或“左”)引入了安全控制,这显然是一个受欢迎的改变,但它给组织带来了将这些新添加的控制与先前存在的生产安全(或“右”侧)桥接起来的挑战。
[ 下载免费电子书: 实施 DevSecOps 指南 ]
Aqua Security 拥有各种流行的开源项目。 你能和我们说说它们吗?
我们拥有一系列跨越三个领域的工具和解决方案:安全扫描、Kubernetes 安全和运行时安全。
对于安全扫描,我们的开源项目 Trivy 处于领先地位。 Trivy 扫描容器镜像和代码存储库,以查找程序包和库中的已知漏洞。 除此之外,Trivy 还会扫描基础设施即代码文件,以查找错误配置和常见的安全问题。 Trivy 在业界广受欢迎,并拥有强大而支持性的贡献者社区,这使其如此成功。 我们最近庆祝了超过 10,000 颗 GitHub 星的里程碑!
在 Kubernetes 安全方面,Aqua 的 Starboard 评估您的 Kubernetes 集群的安全态势。 它由我们的另一个项目 kube-bench 提供支持,kube-bench 已经是 Kubernetes 安全的基石。 由于 Starboard 是一个 Kubernetes 运算符,它将持续自动地检测集群和应用程序状态的变化,并维护您安全态势的最新报告。
运行时安全是指检测和防止生产期间的可疑行为。 我们的项目 Tracee 利用前沿技术 eBPF 实现了这一点,并引领了该技术如何应用于此用例的方向。
eBPF 技术的使用在安全应用和工具(tracee)中不断增长。 它是否已经达到了可以成为主流的地步?
eBPF 已经存在一段时间了,并且在世界上最大的科技公司中的一些公司中已经看到了实际的应用。 该技术是可靠的(尤其是它的最新版本),但对于使用它进行编程的开发人员来说,或者对于采用它的用户来说,它仍然不是很方便。 目前最大的挑战之一是构建和分发由 eBPF 驱动的应用程序。 与“普通”应用程序(供应商会构建应用程序,然后将生成的工件运送给用户)不同,基于 eBPF 的应用程序对环境细微差别更加敏感,因此通常以用户需要在现场编译的源代码的形式提供。 我们一直在与社区和行业同事合作,以解决这些上游挑战,以便 eBPF 可以更广泛地可用和访问。 这实际上导致了我们发布的另一个名为“btfhub”的开源项目。
供应链安全目前是全球 CISO 最关心的问题之一。 您认为还有哪些安全问题需要我们共同关注?
供应链肯定受到了很多关注。 在 Aqua,我们发现了许多组织面临的安全漏洞,并且收购了一家专门从事供应链安全的公司 Argon Security。 Aqua 和 Argon 正在共同努力解决这些挑战,我确信我们的开源家族很快就会从中受益。
大多数供应链解决方案依赖于在软件开发生命周期的早期实施工具和实践。 这是“左移”运动的一部分,将安全从生产转移到开发人员。 我认为这个运动很棒,但是将组织在“左”和“右”侧采用的不同工具缝合在一起仍然是一个挑战,这通常是 CISO 办公桌上的下一个问题。
安全是一个不断发展的领域,许多人都想将其作为职业。 在招聘时,您最优先考虑的技能/特质是什么?
我认为好奇心可以帮助人们从事工程工作,尤其是在信息安全领域。 内在的好奇心和调查并了解事物如何运作的动力对于安全工程师非常有帮助。
特别是在开源方面,我们正在寻找在核心技术能力之上具有额外技能的工程师。 特别是,我们重视有助于我们方法的软技能,即开源工程师不仅编写代码,而且还规划产品路线图、谈论它、推广它并围绕它建立一个社区。
Itay 在空闲时间喜欢做什么?
技术是我生活的重要组成部分,我在空闲时间也被它所吸引。 但除此之外,我还会花时间与我的妻子和儿子在一起、远足和享用美食。 我也从不错过我的早晨瑜伽。
我要感谢 Itay 花时间讨论我们今天在云原生、容器化世界中面临的安全问题。 他提供了一些很棒的见解,并展示了开源软件提供了多少解决方案。
评论已关闭。