De Cloud Native Computing Foundation blijft groeien. In het laatste kwartaal zijn er 58 leden bij gekomen. Zoals gewoonlijk gaat het om een groep bedrijven die enorm uiteenlopen in formaat. Daarnaast maakt het CNCF de resultaten bekend van een security audit uitgevoerd op Kubernetes 1.24.
De nieuwe leden zijn erbij gekomen op zogeheten Silver-basis. Dit houdt in dat ze een kleinere jaarbijdrage hoeven te leveren dan Platinum- en Gold-leden. Een van de kersverse CNCF-leden is SUE, een cloud-consultancybedrijf uit Geldermalsen. Ook de wereldwijd bekende Lenovo en Cognizant zijn toegetreden tot de groep.
CNCF is opgericht in 2015 en draagt bij aan de verspreiding van open-source projecten bedoeld voor cloud-native applicaties. Het geeft ontwikkelaars de kans om hun projecten stapsgewijs volwassener te maken, waarbij deze toepassingen de tijd krijgen om betrouwbaar en commercieel inzetbaar te worden. De fasering hiervan begint bij Sandbox, waarbij een project nog niet als volledig stabiel wordt gezien. Vervolgens zijn Incubating en Graduated-projecten klaar om op de markt te komen.
Om toegelaten te worden onder de vleugels van het CNCF moeten ontwikkelaars aan een aantal eisen voldoen. Denk aan het accepteren van een Code of Conduct of het duidelijk communiceren van versie-updates. Momenteel zijn er meer dan 150 projecten actief in verschillende stadia.
Security
CNCF is nauw verbonden met Kubernetes. Men liet de Britse cybersecurity-expert NCC Group los op versie 1.24 van Kubernetes met een zogeheten security audit. Hierbij wordt een computersysteem volledig gecontroleerd op security-zwaktes. Inmiddels heeft het platform recent de upgrade naar versie 1.27 aangekondigd; het onderzoek was dan ook al in de zomer van 2022 voltooid.
NCC ontdekte een aantal problemen bij deze variant van Kubernetes. Allereerst achtte het bedrijf de beheerderservaring verwarrend wat betreft het beperken van rechten voor gebruikers en netwerken. Daarnaast waren er mazen in het autorisatiesysteem tussen componenten van Kubernetes. Door deze te exploiteren kon een malafide actor zichzelf zelfs opwerken naar cluster-admin. Zodra een dergelijke kwaadwillende eenmaal in die positie terechtkwam, kon deze persoon zich verschuilen achter andere zwaktes in het logging- en auditing-systeem. Ten slotte waren er een aantal manieren om autorisatie te omzeilen. Volgens NCC waren dit de enige kwetsbaarheden die een groot risico voor gebruikers vormden.
Lees ook: Hoe werken bedrijven veilig met Kubernetes en containers in 2022?
6 uur geleden
Expert bijdrage
