k8s (in)security

В рамках CNCF SIG Security группы есть отдельная рабочая группа по теме Software Supply Chain. Как написано в их репозитарии: "In cloud native deployments everything is software-defined, so there is increased risk when there are vulnerabilities in this area. If an attacker controls the supply chain, they can potentially reconfigure anything in an insecure way."



Поэтому ребята активно обсуждают и готовят материалы по данной теме. Так в черновом варианте вы уже сейчас можете посмотреть документ "Software Supply Chain Best Practices".



Также:

- У них же есть классная подборка "Catalog of Supply Chain Compromises" из реальных случаев

- У Google есть статья "Help secure software supply chains on Google Kubernetes Engine"

- А MITRE недавно опубликовало "Deliver Uncompromised: Securing Critical Software Supply Chains"



P.S. Посмотрите прошлые посты по данной теме [1,2,3]