CNCF Security TAG发布云原生安全白皮书新版本

CNCF Security TAG[1]（安全技术咨询小组，Security Technical Advisory Group）刚刚发布了一份更新的云原生安全白皮书 v2[2]，以帮助社区了解保护云原生部署的最佳实践。该白皮书旨在让组织及其技术领导，清楚地了解云原生安全、其在生命周期过程中的结合，以及确定 NIST SSDF 等标准适用性的考虑因素。该白皮书的第一版于 2020 年 11 月 18 日发布，已经给翻译成不同的语言，第一版的音频可以在这里[3]找到。

“在过去的 18 个月里，安全行业和我们的小组随着对供应链和勒索软件的攻击而发展。作为长达数月的回顾[4]过程的一部分，我们收到了关于白皮书第一版改进的极好的反馈。自白皮书的第一个版本发布以来，我们的团队还增加了多种补充材料，如保护供应链安全白皮书[5]、云原生安全地图[6]和云原生安全词汇[7]。作为充满活力的社区的标志，就像第一个版本一样，整个社区的人们带来了他们的热情、技能和专业知识，以解决最终用户的反馈和云原生安全领域的发展难题。”Security TAG 技术负责人 Pushkar Joglekar 说。

虽然原论文的大部分内容经受住了时间的考验，但这一更新版本通过浏览勒索软件事件处理的具体使用案例，以及如何根据欧盟法规保护金融机构的安全，揭示了安全保证和合规性。来自原论文读者的反馈也通过包含这些新的部分来处理：

• 安全默认值——Cloud Native 8：关于实施默认情况下安全的云原生应用的高级指南[8]。
• SSDF 1.1 版映射：将NIST SSDF[9]的实践和任务映射到云原生安全应用生命周期
• ATT&CK 容器威胁矩阵：总结了威胁矩阵[10]如何提供一个应用本文所述指南的结构
• 关于如何分享反馈的指南；关于如何分享对论文提供反馈的说明现在是论文的一部分，并附有一个简短的摘要，说明在第一版出版后如何收集和处理反馈。

CNCF Security TAG 旨在促进厂商中立的协作，以发现和生产资源，从而为云原生生态系统中的操作员、管理员、开发人员和最终用户提供安全访问、策略控制和安全性。如果你有兴趣参与 Security TAG，请查看章程[11]以了解更多信息，并请过来 CNCF Slack 的#tag-security[12]频道上 say “Hi!”。白皮书可在 GitHub[13] 上找到。

参考资料

[1]

Security TAG: https://github.com/cncf/tag-security

[2]

云原生安全白皮书 v2: https://github.com/cncf/tag-security/tree/main/security-whitepaper

[3]

这里: https://soundcloud.com/user-769472014/sets/cncf-tag-security-cloud-native-security-whitepaper-version-v1

[4]

回顾: https://www.cncf.io/blog/2021/10/12/cloud-native-security-microsurvey-more-than-80-of-organizations-want-to-build-modern-security-systems-with-open-source-software/

[5]

保护供应链安全白皮书: https://www.cncf.io/announcements/2021/05/14/cncf-paper-defines-best-practices-for-supply-chain-security/

[6]

云原生安全地图: https://cnsmap.github.io/

[7]

云原生安全词汇: https://github.com/cncf/tag-security/tree/main/security-lexicon

[8]

指南: https://github.com/cncf/tag-security/blob/main/security-whitepaper/secure-defaults-cloud-native-8.md

[9]

NIST SSDF: https://csrc.nist.gov/publications/detail/sp/800-218/final

[10]

威胁矩阵: https://attack.mitre.org/matrices/enterprise/containers/

[11]

章程: https://github.com/cncf/tag-security/blob/master/governance/charter.md

[12]

#tag-security: https://cloud-native.slack.com/archives/CDJ7MLT8S

[13]

GitHub: https://github.com/cncf/tag-security/tree/main/security-whitepaper

CNCF (Cloud Native Computing Foundation)成立于2015年12月，隶属于Linux Foundation，是非营利性组织。

CNCF（云原生计算基金会）致力于培育和维护一个厂商中立的开源生态系统，来推广云原生技术。我们通过将最前沿的模式民主化，让这些创新为大众所用。