© CNCF

In Amsterdam veranstaltete die Cloud Native Computing Foundation im April die mit 10 000 Teilnehmern bislang größte KubeCon + CloudNativeCon in Europa eröffnen. Themen und Entwicklungen rund um Kubernetes- und Cloud-native-Themen erleben einen ungebrochenen Boom.

Chris Aniszczyk, CTO der Cloud Native Computing Foundation (CNCF), erwähnte bei seiner Keynote die erstaunliche Zahl von 58 Prozent an Neuzugängen, also Besuchern, die das erste Mal die Konferenz besuchten. Bei der damit komplett ausverkauften Veranstaltung seien zusätzlich auch noch 2000 verbindlich auf der Warteliste eingetragene Aspiranten für die Präsenzkonferenz nicht zum Zug gekommen. Das an die Tulpenstadt Amsterdam angelehnte Motto der Konferenz, “Community in bloom”, erwies sich für die Kubecon also als zutreffend. Der Besucherstrom führt dann bei der Konferenz trotz des weitläufigen Amsterdamer Messezentrums zu überfüllten Vortragsräumen.

Abbildung 1: Chris Aniszczyk, CTO der Cloud Native Computing Foundation, bei der Keynote. Quelle: CNCF

Man verzeichne bei der CNCF inzwischen 1300 Maintainer und rund 200 000 Beitragende zu den verschiedenen Projekten, sagte der CTO. Auch bei den Mitgliedern gab es Neuzugänge zu vermelden, darunter Hitachi und Ernst & Young als neue Gold-Member. Zu den Rekorden zählt die CNCF auch die inzwischen 159 Projekte unter dem Dach der Stiftung.

Abbildung 2: Volle Hallen bei der Kubecon. Quelle: CNCF

Audit für Kubernetes

Die Cloud Native Computing Foundation hat ein von der NCC Group nun abgeschlossenes Security Audit für Kubernetes als Open Source veröffentlicht. Grundlage für die im Sommer 2022 gestartete Sicherheitsüberprüfung war Kubernetes 1.24. Ziel des Audits war es, alle Probleme in der Projektarchitektur und Codebasis zu identifizieren, die die Sicherheit der Kubernetes-Benutzer beeinträchtigen könnten, teilte die CNCF in Amsterdam mit. Diese Sicherheitsprüfung sollte ein umfassendes Bild der Sicherheitslage von Kubernetes und seiner Quellcodebasis zeichnen und konzentrierte sich auf diverse Komponenten von Kubernetes.

Da Kubernetes auf Container-Runtimes wie Docker und CRI-O angewiesen sei, habe man auf Fehlern in der Container-Laufzeit beruhende Container-Escape-Vorgänge nicht berücksichtigt, es sei denn, der Vorgang sei durch einen Fehler bei der Einrichtung des Containers durch Kubernetes entstanden, hieß es weiter zur Methodik. Beim Audit seien unter anderem eine Reihe von Problemen mit der Administration von Benutzer- oder Netzwerkberechtigungen aufgefallen. Diese könnten für Verwirrung sorgen oder Unklarheiten über die für eine bestimmte Komponente verfügbaren Berechtigungen nach sich ziehen. Auch habe man Schwachstellen in der komponentenübergreifenden Authentifizierung entdeckt, die es unter Umständen einem böswilligen Benutzer ermöglichen, die Berechtigungen zum Cluster-Administrator zu erweitern. Die Sicherheitsprüfung ist im Kubernetes-Github-Repository [1] verfügbar.

Sichere Entwicklung und KI

Die Wirkung von ChatGPT ist auch in Amsterdam angekommen. Allerdings war dort noch wenig Konkretes mit künstlicher Intelligenz verbunden. Die DevOps-Plattform Gitlab hat aber den Gitlab Global DevSecOps Report 2023 zur Kubecon mitgebracht. Die Studie zeige, dass die Sicherheitsbudgets stagnieren oder gekürzt werden, berichtet Dave Steer, Vice President Product Marketing bei Gitlab.

Laut dem Report verwenden 62 Prozent der Entwickler künstliche Intelligenz und Machine Learning bei Tests oder planen, dies in den nächsten drei Jahren zu tun. Angesichts der Ressourcenknappheit, mit der DevSecOps-Teams konfrontiert sind, seien Automatisierung und künstliche Intelligenz strategische Ressourcen, berichtet Steer. Gitlab habe im Februar eine Beta-Phase für die Funktion Code Suggestions gestartet. Die Code Suggestions auf Basis von KI könne die Produktivität, den Fokus und die Innovation von Entwicklern verbessern, glaubt Steer.

Michael Friedrich, Senior Developer Evangelist bei Gitlab, bezeichnet die Datenbasis für die Code Suggestions von Gitlab als transparent und kuratiert. Die Beta-Tests nutze man, um aus dem Feedback zu lernen und entsprechende Korrekturen vorzunehmen, sagte Friedrich. Trotz des Potenzials von künstlicher Intelligenz in Sachen Codevorschlägen und bei den Code Reviews sei Entwicklererfahrung letztlich durch nichts zu ersetzen.

Sicherer Hafen

Die Cloud Native Computing Foundation brachte Harbor 2.8 nach Amsterdam mit, die neueste Version ihrer Open-Source-Registry für Container. Harbor steht seit 2020 als Projekt unter der Leitung der CNCF. Ursprünglich von VMware entwickelt, verspricht die Container-Registry-Implementierung Sicherheit und Skalierbarkeit.

Mit Version 2.8 wird die Open Container Initiative Distribution Specification v1.1.0 RC1 unterstützt, die Verbesserungen für Multiarchitektur-Images und Image-Manifeste bieten soll. Bei dieser Spezifikation handle es sich um ein bedeutendes Upgrade, das es Benutzern ermögliche, OCI- und Docker-Images zu speichern und zu verteilen, hieß es.

Harbor 2.8 unterstützt zudem das Senden von Webhook-Payloads im CloudEvents-Format. Diese Funktionalität sei erheblich verbessert worden, um erweiterte Verwaltungs- und Debugging-Möglichkeiten bieten zu können, teilt die CNCF mit. Durch die zusätzliche Unterstützung des CloudEvents-Formats falle die Integration mit anderen Systemen und Diensten leichter.

Sicherheitsbedenken

Der Erfolg von Kubernetes sollte nicht darüber hinwegtäuschen, dass es noch viele Bedenken hinsichtlich der Sicherung containerisierter Workloads gibt. Zumindest hat das die Analyse “The State of Kubernetes Security for 2023” [2] ergeben, die Red Hat organisiert und bei der KubeCon vorgestellt hat. Man habe dafür weltweit 600 DevOps-Experten, Entwickler und Sicherheitsverantwortliche befragt, teilte Red Hat mit. Der Report zeige auch, wie Unternehmen die Gefahren für ihre Anwendungen und IT-Umgebungen mindern können.

Bei der Umfrage geben 38 Prozent der Befragten an, dass das Thema Sicherheit nicht ernst genug genommen werde oder die Investitionen in die Sicherheit unzureichend seien. Das entspreche einem Anstieg um 7 Prozentpunkte im Vergleich zur Vorjahresumfrage, berichtet Red Hat. Trotz Vorteilen von Cloud-native-Technologien wie Flexibilität, Anpassungsfähigkeit und Zuverlässigkeit haben laut der Untersuchung 67 Prozent der Befragten die Einführung wegen Sicherheitsbedenken verzögert, ergab die Umfrage.

Bei der Hälfte der Befragten habe es in den zwölf Monaten ein Problem in der Softwarelieferkette im Zusammenhang mit Cloud-native- und containerisierter Entwicklung gegeben, heißt es weiter. Positiv vermerkt der Bericht, dass viele Unternehmen Maßnahmen ergreifen, um die Softwarelieferketten besser zu schützen. Ein umfassender DevSecOps-Ansatz gelte dabei als Strategie. Fast die Hälfte der Befragten gab an, bei der Umsetzung bereits weit fortgeschritten zu sein; weitere 39 Prozent befinden sich im Anfangsstadium der Einführung.

Envoy im Kino

In Zusammenarbeit mit der Cloud Native Computing Foundation CNCF hat Speakeasy Productions in Amsterdam die Premiere des Dokumentarfilms “Inside Envoy: the Proxy for the Future” gefeiert [3]. Der Film bietet Einblicke in die Entstehung bis zur Massenanwendung von Envoy.

“Envoy war eine der wichtigsten Open-Source-Innovationen beim Übergang von monolithischen Architekturen zu Microservices, da sein hochleistungsfähiger Service-Proxy eine effiziente Kommunikation und Lastverteilung ermöglichte und dazu beitrug, die Komplexität der Service-to-Service-Kommunikation zu beseitigen. Envoy wird inzwischen von Tausenden von Unternehmen genutzt und hat die Einführung von Microservices in der gesamten Branche beschleunigt”, kommentiert die CNCF dazu.

Im Envoy-Film [3] kommen prominente Innovatoren, Führungskräfte und Ingenieure zu Wort, die die Geschichte der Entstehung und des Wachstums von Envoy zu jener bahnbrechenden Technologie erzählen, die heute von Hunderttausenden von Entwicklern und Unternehmen auf der ganzen Welt geschätzt wird. (jlu)