Container周报第140期：K8s资安那个团队负责？3成企业靠DevOps，2成则指派维运

7/9~7/15 精选容器新闻

#容器资安 #K8s
红帽公布最新K8s安全报告，最常见的资安事件是配置出错

红帽今年初宣布并购了一家容器资安新创StackRox，随后也在6月底时，公布了一项由这家新创今年初进行的K8s资安调查报告。超过5百名DevOps人员、维运工程师或资安专家参与了这次调查。

尽管如此，根据这份调查报告，过去12个月，高达94%的填答者都发生过至少一次的资安事件，其中最大宗的就是配置错误（misconfiguration）导致的资安事件，高达59%，等于是每5个人，就有3个人遇过。这个比例甚至比runtime资安事件（32%）和重大漏洞（31%）的比例还要高。

报告也分析造成这类事件的原因是，K8s的功能太过于强大，当负载工作量不大时，很容易建立够安全的配置，但是随着企业对K8s越用越多，进而导致配置复杂度暗藏的风险也会越来越高，尤其若企业没有一套妥善的资安政策或是持续落实的容器资安机制，更是容易累积越来越多的技术债。

维运人员比较容易注意到K8s仪表板的部署风险，得避免暴露在对外的网络，但容易忽略了单一pod丛集在各种资安环境上不同考量，或是导入K8s角色存取控制机制RBAC时的配置错误。另外一个造成配置复杂度的原因则是，将近半数填答者都是采取混合云架构的部署环境，私有K8s环境和公有云上的K8s环境两者混用。企业对于容器资安政策的订定，仍有26%填答者所属企业才正在规划，30%则只有基本安全政策，缺乏了更细致或因应更复杂使用情境下的容器资安政策考量。

不过，容器资安责任的归属仍非常分歧，27%企业指派给DevOps，21%则由维运团队负责，另有18%企业则交给资安团队，只有18%企业有专门的DevSecOps团队，但超过7成企业都认同，自家DevOps和资安团队必需要有一套安全协作的方式，才能进一步落实容器的安全。

#Docker #容器元件 #runtime
经过漫长的5年，runC终于释出了1.0版

许多容器管理平台内建的标准容器执行元件runC，终于正式释出了1.0版，这个由Docker开发，后来交给了开放容器倡议（Open Container Initiative，OCI）负责维护的runtime专案，早在2016年就是出了v1.0.0的候选版本rc1，但迟迟没有变成正式版，直到最近。因为runc是许多云端供应商如AWS、Google或容器软件商如红帽，在他们产品或服务中的预设元件，而且是能够取得主机端最高权限的元件，因此，好几次都因为发现了新的漏洞而迟迟停留在候选版本中。例如2019年2月时，runC就曾发现一个漏洞，能让骇客把程式码嵌入一个县有导致其他容器执行元件如Docker、containerd、Podman到CRI-O等runtime也都受害，影响之广，几乎runC一出状况就是高风险。候选版本甚至发展到了rc94，也就是94个候选版，现在终于进入1.0。这也意味着容器基础元件进入稳定期，那些内建runC的各大公云或K8s软件，都有一个正式且共通的容器执行元件。

#Linux容器 #容器资安 #Sophos
强化Linux容器安全布局，Sophos并购容器即时侦测工具Capsule8

最近老牌防毒软件资安商Sophos宣布并购了一家专门提供Linux容器即时侦测工具商Capsule8，要来扩大他们在Linux服务器市场上的资安产品布局。Sophos产品长Dan Schiappa更预告，明年就会将Capsule8平台整合到Sophos管理界面中，成为Sophos在5月宣布的Adaptive Cybersecurity Ecosystem（简称ACE生态圈）其中一环产品。Sophos也计划将Capsule8整合到自家入侵侦测产品XDR、Intercept X EDR产品以及Sophos的MRT威胁回应管理工具和快速反应服务等。他强调，Sophos的策略就是要建立跨Windows和Linux环境的自动化资安平台。

#Java开发 #自动化测试
AtomicJar计划把开源的Java容器单元测试工具变成新服务

最近在一个Java开发者会议上，一家云端测试服务新创AtomicJar首席执行官Sergei Egorov宣布，已经募资了4百万美元，要把Testcontainers这个开源的Java自动化整合测试工具，变成一项服务。Testcontainers是AtomicJar技术长Richard Northy在2015年在顾问公司担任工程师时设计的开源工具，后来大受Java开发圈的青睐，许多大公司都爱用，如Google、Oracle或Uber等。目前每个月有数千家公司经常使用，累计下载呼叫量超过1百万次。Sergei Egorov强调，这一群现有的企业使用社群会成为AtomicJar接触企业IT团队的起点。AtomicJar未来将提供预先各种平台的预先配置环境，方便开发者引用来进行各种整合测试之用。

#云端维运 #K8s  #Ubuntu
K8s和云端维运大调查，近1成金融业拥抱K8s，热度仅次科技业

Ubuntu发行商Canonical最近公布了一份K8s和云端维运大调查，调查了1,200名所属企业或工作上会用到K8s的人来参加，还找来Google、Amazon等擅长CNCF维运框架的专家协助分析。根据这份调查，已经采用K8s的产业，最大宗仍是科技业，高达4成，但也有近1成的使用者来自金融业，比教育机构（8.1%）或电信业（6.4%）都来得高。

Google首席开发者传教士Kelsey Hightower分析，这也符合Google看到的实际情况，金融业虽然会有资安和法遵上的种种考量，但这产业有足够资源，经常是更快拥抱新技术的产业，而电信业者则是逐渐将K8s部署到地区资料中心来提供串流内容的服务。另外，这次调查也发现，目前混用裸机、VM和K8s三种执行环境的使用者最多，将近3成，其次也有15.7%的使用者所有应用都部署在K8s环境中，另外还有1成5使用者正要将VM上的工作负载，完全转移到K8s环境上。最多人使用的本地端K8s开发环境则是Minikube版本。

#容器化顾问服务 #IBM
IBM持续扩充顾问服务部门战力，新并购容器服务商BoxBoat

最近IBM宣布买下一家K8s服务商，来强化自身顾问服务团队。这家公司是创立于2016年的BoxBoat，以容器及DevOps咨询服务为主，可辅导企业将既有应用容器化、建立Kubernetes的工具、并提供相关流程规划、DevSecOps、人员训练、顾问服务。客户群不乏财星100大企业及-部门。BoxBoat集结Kubernetes管理、开发及自动化经验。IBM表示，该公司并购后仍将维持与AWS、Azure及GCP的合作。IBM在今年初也另外收购了芬兰多云咨询服务商Nordcloud和Taos。

#云端原生平台 #5G应用
云达科技和5G应用自动化平台商Robin.io联手，要让电信商靠K8s变成云端原生平台商

广达旗下云达科技最近宣布，和国外一家5G应用自动化平台商Robin.io联手进军5G电信市场，结合Robin.io利用K8s打造的跨丛集自动化平台（MDCAP）、云端原生平台软件（CNP）、云端原生储存软件（CNS）等，结合云达的服务器硬件产品，来提供电信商建立一套高度自动化和容易调度的云端原生服务基础架构，来支撑5G应用程序的部署和管理需求。

责任编辑：王宏仁

更多容器新闻 

Aqua资安公司发现近期有骇客专门锁定Docker API配置错误，不用1小时内就能攻破