Неэксплуатируемые уязвимости в Kubernetes: как VEX помогает навести порядок в шуме CVE

Kubernetes — это не просто пять бинарей, а огромная экосистема из десятков компонентов: cert-manager, monitoring, Ingress, аутентификации и многого другого. Все это строится на множестве сторонних зависимостей, в которых регулярно появляются CVE.

Далеко не все уязвимости представляют собой угрозу: многие из них попадают в образы автоматически, но не используются на практике, потому что код недостижим, функциональность отключена или недоступна изнутри кластера. Несмотря на это, большинство сканеров трактуют CVE как потенциально опасные, создавая шум, мешая CI/CD-процессам и перегружая команды безопасности.

Постоянное сканирование контейнеров на уязвимости ПО на этапе сборки и в runtime становится обязательным для формирования надежной цепочки доставки ПО клиенту. Оно приводит к появлению большого числа false-positive-срабатываний, которые нельзя трактовать как реальные уязвимости, но и невозможно устранить в силу специфики ПО. Для подобных кейсов необходим механизм описания (митигации), почему мы считаем уязвимость false-positive-кейсом.

Покажу, как мы формируем VEX-декларации, упаковываем их в виде контейнеров и передаем клиентам. Вы узнаете, как мы используем их при runtime-сканировании и как на их основе готовим обоснования для сертификаций и аудитов. Все это сделано на базе Open Source и адаптировано под реальные риски в Kubernetes-средах.

Доклад будет полезен всем, кто поставляет свое ПО в контейнерах.