Un audit ha rilevato 34 vulnerabilità in Kubernetes, ma non è per nulla una cattiva notizia
Nel mondo del software, tipicamente, quando vengono pubblicati i risultati degli audit di sicurezza l’atmosfera non è mai gioiosa. Del resto a chi piace scoprire vulnerabilità nel proprio codice? Cosa succede però se l’indagine è stata commissionata e resa trasparente dal primo momento?
Le sensazioni possono essere decisamente diverse.
È proprio il caso della Cloud Native Computing Foundation (CNCF) che ha richiesto a due società esterne, nel caso specifico Trail of Bits e Atredis Partners, di compiere un’indagine all’interno del progetto Kubernetes per quanto concerne tutti gli aspetti di sicurezza: networking, crittografia, autenticazione, autorizzazione, gestione dei dati segreti e multi-tenancy.
I risultati sono stati pubblicati in forma open-source, liberamente accessibili all’interno della pagina GitHub del progetto.
Ma cosa dicono i risultati? Cosa è emerso dall’indagine? Esistono al momento 34 vulnerabilità identificate, di cui 4 considerate high severity e 15 medium. Non poche certo, ma va tenuto presente che il progetto Kubernetes è al momento composto da più di due milioni di righe di codice, quindi la proporzione è certamente accettabile.
Ma gli aspetti positivi non finiscono qui: il report identifica le problematiche e ne suggerisce le soluzioni, chiarendo l’aspetto non triviale di come queste vulnerabilità potrebbero essere sfruttate. Non solo, la scoperta di queste falle ha chiaramente già attivato tutti gli sviluppatori coinvolti che hanno già iniziato a produrre le correzioni necessarie.
In una email spedita al sito The Register, il CTO e COO della CNCF, Chris Aniszczyk, si è detto estremamente soddisfatto del processo, suggerendo inoltre come questa modalità pubblica di identificazione delle vulnerabilità sia qualche cosa di virtuoso che anche altri progetti potrebbero adottare:
I don’t know of any other open source organization that has shared and open sourced the whole process around a security audit and the results. Transparency builds trust in open source communities, especially around security.
Non so se qualche altra organizzazione open-source ha condiviso e reso a codice aperto l’intero processo intorno all’audit di sicurezza insieme ai risultati. La trasparenza costruisce la fiducia nelle comunità open-source, specialmente sui temi di sicurezza.
Se lo dice il principale responsabile di uno dei progetti più diffusi nel mondo I.T. attuale non possiamo che condividere, aggiungendo l’auspicio che questo ottimo esempio diventi un modello da imitare per molti altri progetti.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
