Kaspersky \u00fcr\u00fcn yelpazesindeki \u00e7e\u015fitli ara\u00e7lar aras\u0131nda, konteyner tabanl\u0131 ortamlar\u0131n g\u00fcvenli\u011fini sa\u011flamak i\u00e7in \u00f6zel olarak tasarlanm\u0131\u015f bir platform yer al\u0131r. Ancak bu yaz\u0131da, Kaspersky Container Security (KCS) hakk\u0131nda konu\u015fmak istiyorum. Bunu bir sat\u0131c\u0131 temsilcisi olarak de\u011fil, g\u00fcnl\u00fck i\u015flerinde bu \u00e7\u00f6z\u00fcm\u00fc aktif olarak kullanan bir ekibin \u00fcyesi olarak yapaca\u011f\u0131m. \u00dcr\u00fcn G\u00fcvenli\u011fi Ekibimiz, \u015firket genelinde g\u00fcvenli geli\u015ftirme s\u00fcre\u00e7leri olu\u015fturmaktan sorumludur. Yaz\u0131l\u0131m geli\u015ftirme ya\u015fam d\u00f6ng\u00fcs\u00fcn\u00fcn her a\u015famas\u0131nda yer al\u0131yoruz ve \u00f6nceli\u011fimiz, \u00fcr\u00fcn ekiplerinin g\u00fcvenlik sorunlar\u0131n\u0131 erken a\u015famada tespit etmelerine yard\u0131mc\u0131 olarak s\u00fcr\u00fcmlerini planlanan takvime uygun \u015fekilde yay\u0131nlayabilmelerini sa\u011flamakt\u0131r. Bunu ba\u015farmak i\u00e7in \u00e7e\u015fitli i\u015f ak\u0131\u015flar\u0131 olu\u015fturduk; bunlardan biri \u00f6zellikle konteyner g\u00fcvenli\u011fine odaklan\u0131yor. \u0130\u015fte tam da bu noktada kendi Kaspersky Container Security platformumuza g\u00fcveniyoruz.<\/p>\n
Konteyner g\u00fcvenlik \u00e7\u00f6z\u00fcmleri genellikle \u00f6ncelikle konteyner kay\u0131t defteri i\u00e7in g\u00f6r\u00fcnt\u00fc taray\u0131c\u0131lar\u0131 olarak g\u00f6r\u00fcl\u00fcr. Bununla birlikte, Kaspersky Container Security (KCS); konteyner i\u015f ak\u0131\u015f\u0131na u\u00e7tan uca entegrasyonu sayesinde \u00e7ok say\u0131da g\u00f6revi yerine getiren, konteyner ortamlar\u0131 i\u00e7in daha kapsaml\u0131 bir g\u00fcvenlik platformudur. Her ne kadar bu, ku\u015fkusuz \u00f6nemli olan bir konteyner g\u00f6r\u00fcnt\u00fc tarama senaryosunu da i\u00e7erse de, KCS ile edindi\u011fimiz deneyim, bu sistemin ger\u00e7ek de\u011ferinin ancak i\u015f ak\u0131\u015f\u0131n\u0131n \u00e7e\u015fitli a\u015famalar\u0131na ayn\u0131 anda entegre edildi\u011finde ortaya \u00e7\u0131kt\u0131\u011f\u0131n\u0131 g\u00f6stermi\u015ftir:<\/p>\n
Temelde, bu s\u00fcre\u00e7 standart bir s\u00fcre\u00e7tir. KCS, g\u00f6r\u00fcnt\u00fclerde; bilinen g\u00fcvenlik a\u00e7\u0131klar\u0131, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar, sabit kodlanm\u0131\u015f gizli bilgiler ve yanl\u0131\u015f yap\u0131land\u0131rmalar gibi tipik konteyner sorunlar\u0131n\u0131 kontrol eder. Ancak tarama sonucu, tek ba\u015f\u0131na soyut bir sonu\u00e7 de\u011fildir. Sistem, elde edilen bulgulara dayanarak bir risk derecesi hesaplar ve varl\u0131\u011f\u0131n g\u00fcvenlik durumuna ili\u015fkin net bir tablo sunar. Uygulamada bu son derece yararl\u0131d\u0131r, \u00e7\u00fcnk\u00fc ekipler sadece \u201chatal\u0131 g\u00f6r\u00fcnt\u00fc\u201d uyar\u0131s\u0131 g\u00f6rmekle kalmaz; riskin tam olarak neyden kaynakland\u0131\u011f\u0131n\u0131 ve \u00f6ncelikle nelerin d\u00fczeltilmesi gerekti\u011fini g\u00f6steren net bir ayr\u0131nt\u0131l\u0131 bilgi de al\u0131rlar.<\/p>\n
Ama hepsi bu kadar de\u011fil. KCS; sadece bir sorunu tespit etmenin yeterli olmad\u0131\u011f\u0131 ve sorunu yap\u0131n\u0131n ya\u015fam d\u00f6ng\u00fcs\u00fcyle ili\u015fkilendirmenin gerekli oldu\u011fu durumlarda olduk\u00e7a etkilidir. Bir ekip y\u00fczlerce derlemeyi y\u00f6netiyorsa, d\u00fczenli kay\u0131t defteri taramalar\u0131 yeterli olmaz ve bu durum neredeyse her zaman manuel m\u00fcdahale gerektirir. Hangi s\u00fcrecin riski ortaya \u00e7\u0131kard\u0131\u011f\u0131n\u0131, hangi ilkelerin devreye girdi\u011fini ve bundan sonra at\u0131lmas\u0131 gereken ad\u0131mlar\u0131n neler oldu\u011funu bilmeniz gerekir. KCS bu hayati ba\u011flant\u0131y\u0131 sa\u011flar.<\/p>\n
KCS\u2019nin pek bilinmeyen \u00f6zelliklerinden biri, CI\/CD s\u00fcre\u00e7leri i\u00e7inde tam kapsaml\u0131 tarama yetene\u011fidir. Ekibimiz i\u00e7in KCS\u2019yi kullanman\u0131n en etkili yolu budur. Mant\u0131k olduk\u00e7a basittir: Taray\u0131c\u0131y\u0131 s\u00fcrece entegre edersiniz ve tarama sonu\u00e7lar\u0131 do\u011frudan y\u00fcr\u00fctme g\u00fcnl\u00fcklerinde g\u00f6r\u00fcn\u00fcr. Bu veriler ayn\u0131 zamanda \u00e7\u00f6z\u00fcm\u00fcn merkezi konsoluna da g\u00f6nderilir ve burada, bulgular\u0131 yap\u0131 \u00f6gesi ad\u0131na, tarama zaman\u0131na, s\u00fcrece ve \u00f6nem derecesine ba\u011flayan \u00f6zel bir CI\/CD b\u00f6l\u00fcm\u00fcnde kaydedilir.<\/p>\n
Bir CI\/CD ortam\u0131nda, g\u00f6r\u00fcnt\u00fcleri tar ar\u015fivlerinden veya do\u011frudan Git depolar\u0131ndan tarayabilirsiniz. Kutudan \u00e7\u0131kt\u0131\u011f\u0131 haliyle GitLab, Jenkins, TeamCity ve GitHub Actions\u2019\u0131 destekler; pratikte ise KCS herhangi bir s\u00fcre\u00e7 d\u00fczenleyicisiyle entegre edilebilir.<\/p>\n
CI\/CD\u2019de KCS kullan\u0131m\u0131n\u0131n bir di\u011fer \u00f6nemli y\u00f6n\u00fc g\u00fcvenlik ilkeleriyle ilgilidir. \u00c7\u00f6z\u00fcm\u00fcm\u00fcz, ilkelerin yaln\u0131zca sonu\u00e7lar\u0131n toplanmas\u0131na de\u011fil, ayn\u0131 zamanda s\u00fcrecin kendisinin davran\u0131\u015f\u0131n\u0131n da kontrol edilmesine olanak tan\u0131yan bir model kullan\u0131r. Bu, a\u015famal\u0131 uygulamalar i\u00e7in olduk\u00e7a kullan\u0131\u015fl\u0131d\u0131r. Denetim modunda ba\u015flayabilir ve gizli bilgiler, kritik yap\u0131land\u0131rma hatalar\u0131 veya g\u00fcvenlik a\u00e7\u0131klar\u0131 tespit edildi\u011finde kademeli olarak ba\u015far\u0131s\u0131z derlemelere ge\u00e7ebilirsiniz. Bu a\u015famal\u0131 yakla\u015f\u0131m, genellikle her \u015feyi tek seferde engellemek i\u00e7in bir d\u00fc\u011fmeye basmaktan daha etkili olur.<\/p>\n
Kendi bile\u015fim analiz sistemimizi kullan\u0131r\u0131z; bu nedenle KCS\u2019yi tek bir do\u011fru kaynak olarak g\u00f6rmeyiz. Bunun yerine, i\u015f ak\u0131\u015flar\u0131m\u0131zda g\u00fc\u00e7l\u00fc bir ek katman i\u015flevi g\u00f6r\u00fcr ve i\u015fte tam da bu noktada en b\u00fcy\u00fck de\u011feri bulur.<\/p>\n
\u015eirket i\u00e7i bile\u015fen analiz sistemimiz bile\u015fen takibi, ba\u011f\u0131ml\u0131l\u0131klar ve kod d\u00fczeyinde risk de\u011ferlendirmesini \u00fcstlenirken, KCS konteyner s\u0131n\u0131rlar\u0131n\u0131n g\u00fcvenli\u011fini sa\u011flamada \u00fcst\u00fcn bir performans sergiler. Teknik g\u00f6r\u00fcnt\u00fc tarama ve CI\/CD g\u00fcvenli\u011fini sa\u011flarken, konteyner \u00f6geleriyle ilgili raporlar\u0131 derler. Bu, bizim i\u00e7 analizimizle \u00e7eli\u015fmez; tam da konteynerlerin ger\u00e7ek i\u015f y\u00fcklerini ald\u0131\u011f\u0131 noktada bu analizi destekler.<\/p>\n
Bu durum, bizim i\u00e7in \u00f6zellikle iki senaryoda olduk\u00e7a yararl\u0131d\u0131r. \u00d6ncelikle, geli\u015ftirme s\u00fcrecinde erken a\u015famada hata kontrol\u00fc sa\u011flar. \u0130kincisi, \u00fcr\u00fcn kabul\u00fc s\u0131ras\u0131nda bir denetleyici g\u00f6revi g\u00f6r\u00fcr. Art\u0131k s\u00fcr\u00fcm\u00fcn yay\u0131nlanmas\u0131ndan bir s\u00fcre sonra riskleri tart\u0131\u015fm\u0131yoruz; bunlar\u0131, ekibin uzun bir onay s\u00fcrecine gerek kalmadan bir Dockerfile, Helm \u015femas\u0131 veya yap\u0131land\u0131rma setini h\u00e2l\u00e2 h\u0131zla d\u00fczeltebilece\u011fi tam o noktada tespit ediyoruz.<\/p>\n
Yaz\u0131l\u0131m malzeme listesini (SBOM) i\u015fleme \u015fekli de dikkat \u00e7ekicidir. Sistemimiz \u00f6ncelikle g\u00fcncel ve ilgili SBOM\u2019lere dayanmaktad\u0131r. KCS, SBOM\u2019leri i\u015flemek i\u00e7in \u00f6zel modlar sunar ve hatta tarama sonu\u00e7lar\u0131n\u0131 ayn\u0131 formatta \u00e7\u0131kt\u0131 olarak verebilir. Bu ba\u011flamda, KCS i\u00e7 s\u00fcre\u00e7lerimizle sorunsuz bir \u015fekilde entegre olur ve bu sayede i\u015f ak\u0131\u015flar\u0131m\u0131z\u0131 uyarlamak yerine onu mevcut i\u015f ak\u0131\u015flar\u0131m\u0131za uyarlayabiliriz.<\/p>\n
KCS\u2019nin ba\u015fka bir g\u00fc\u00e7l\u00fc \u00f6zelli\u011fi de k\u00fcme g\u00fcvenli\u011fidir. Bu a\u015famada KCS, sadece bir g\u00f6r\u00fcnt\u00fc tarama arac\u0131 olman\u0131n \u00f6tesine ge\u00e7er. Konteynerler ve d\u00fc\u011f\u00fcmler i\u00e7in \u00e7al\u0131\u015fma zaman\u0131 ilkeleri, denetim ve engelleme modlar\u0131 ile bir dizi g\u00fcvenlik profili i\u00e7erir. Pratik olarak bu, KCS\u2019nin yaln\u0131zca bir g\u00f6r\u00fcnt\u00fcdeki g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 tespit etmek i\u00e7in de\u011fil, ayn\u0131 zamanda konteynerin canl\u0131 ortama ge\u00e7ti\u011finde ger\u00e7ekte ne yapt\u0131\u011f\u0131n\u0131 izlemek i\u00e7in de kullan\u0131labilece\u011fi anlam\u0131na gelir. \u0130lkeler, g\u00f6r\u00fcnt\u00fcn\u00fcn kayna\u011f\u0131n\u0131, dijital imzalar\u0131, kapasite ve hacim k\u0131s\u0131tlamalar\u0131n\u0131 ve hatta konteyner i\u00e7inde \u00e7al\u0131\u015fan s\u00fcre\u00e7leri ve a\u011f ba\u011flant\u0131lar\u0131n\u0131 kapsayabilir.<\/p>\n
Bir sorun tespit edildi\u011finde, i\u015flemi hemen durdurmak yerine sonu\u00e7lar\u0131 \u00f6nce denetim modunda kaydetme se\u00e7ene\u011finiz vard\u0131r. \u00dcretim ortamlar\u0131nda bu her zaman daha ak\u0131ll\u0131ca bir tercihtir. Bir di\u011fer hayati ara\u00e7 ise g\u00fcvenilir g\u00f6r\u00fcnt\u00fc kayna\u011f\u0131n\u0131 garanti etmektir. KCS, dijital imza do\u011frulamas\u0131n\u0131 desteklemektedir; bu sayede odak noktas\u0131, sadece CVE\u2019leri tespit etmekten \u015firketin t\u00fcm yaz\u0131l\u0131m tedarik zincirinin g\u00fcvenli\u011fini sa\u011flamaya kaymaktad\u0131r.<\/p>\n
KCS, tespit etti\u011fi sorunlar\u0131 sadece g\u00f6r\u00fcnt\u00fclemekle kalmaz; ayn\u0131 zamanda kapsaml\u0131 bir raporlama kayna\u011f\u0131 i\u015flevi de g\u00f6r\u00fcr. G\u00f6r\u00fcnt\u00fcler, kabul edilen riskler ve Kubernetes performans kar\u015f\u0131la\u015ft\u0131rmalar\u0131 hakk\u0131nda raporlar olu\u015fturabilir.<\/p>\n
Olu\u015fturulan raporlar HTML, PDF, CSV, JSON ve XML formatlar\u0131nda sunulur; ayr\u0131nt\u0131l\u0131 raporlama i\u00e7in SARIF format\u0131 da \u00f6zel olarak desteklenir ve bu, AppSec i\u015f ak\u0131\u015flar\u0131na entegrasyon i\u00e7in idealdir. Yukar\u0131da bahsedilen SBOM\u2019lara gelince, tarama senaryolar\u0131 CycloneDX ve SPDX formatlar\u0131nda \u00e7\u0131kt\u0131 ve sonu\u00e7lar \u00fcretebilir; bu da mevcut s\u00fcre\u00e7lere entegrasyonu kolayla\u015ft\u0131r\u0131r.<\/p>\n
Basit\u00e7e s\u00f6ylemek gerekirse, KCS i\u015f ak\u0131\u015flar\u0131m\u0131z\u0131 m\u00fckemmel bir \u015fekilde tamamlar. Bunun nedeni, her sorunu \u00e7\u00f6zmesi de\u011fil, m\u00fchendislik senaryolar\u0131na son derece etkili bir \u015fekilde entegre olmas\u0131d\u0131r.<\/p>\n
\u00dcr\u00fcn ekibinin geri bildirimlerimizi dikkate almas\u0131n\u0131 da takdir ediyoruz. KCS ekibi, bizim pratik operasyonel taleplerimizi geli\u015ftirme yol haritas\u0131na ger\u00e7ekten dahil eder. \u00d6rne\u011fin, KCS\u2019ye, edindi\u011fimiz pratik deneyimlerin do\u011frudan bir sonucu olarak derinlemesine SBOM entegrasyonu ve belirli rapor t\u00fcrleri eklendi.<\/p>\n