Octarine, società specializzata nella sicurezza delle app native del cloud, ha annunciato il rilascio di due nuovi progetti open source: il Kubernetes Common Configuration Scoring System (KCCSS), un nuovo framework per la valutazione dei rischi di sicurezza associati a errate configurazioni, e kube-scan, uno strumento di workload e assessment che scansiona le configurazioni e le impostazioni di Kubernetes per identificare e classificare in pochi minuti le potenziali vulnerabilità.
Kubernetes Common Configuration Scoring System, KCCSS, è simile al Common Vulnerability Scoring System (CVSS), lo standard di settore, spiega Octarine, per la classificazione delle vulnerabilità: ma, invece, si focalizza sulle configurazioni e impostazioni di sicurezza stesse.
Le vulnerabilità sono sempre nocive ma, sottolinea ancora Octarine, allo stesso tempo le impostazioni di configurazione possono essere non sicure o critiche per la protezione o per i rimedi. KCCSS classifica entrambi, sia i rischi che i rimedi, come regole separate, e consente agli utenti di calcolare il rischio per ogni impostazione di runtime, con uno score da 0 a 10, in cui 10 è il rischio massimo. KCCSS poi calcola il rischio globale dei carichi di lavoro, in generale.
kube-scan, il secondo progetto rilasciato come open source da Octarine, è uno strumento di valutazione della sicurezza free e open basato su KCCSS. Esso si occupa di analizzare più di 30 impostazioni e configurazioni di sicurezza, quali livelli di privilegi, capacità e policy di Kubernetes, per stabilire una base di rischio. kube-scan identifica quali carichi di lavoro sono maggiormente a rischio, e specifica perché e quali sono le potenziali conseguenze; aiuta inoltre a dare le priorità alle attività di remediation con update alla Pod Security Policy, alle definizioni dei pod e ai file manifest.
Il tool kube-scan funziona come un pod ma non consente l’accesso in ingresso o in uscita. È sicuro da eseguire in qualsiasi ambiente e può essere eliminato dopo l’accesso alla pagina del punteggio di rischio.
Maggiori informazioni sui due nuovi progetti open source, sui dettagli tecnici e di licenza e su come scaricarli, sono disponibili sul sito di Octarine.
