Helm 3 ist sicher genug für ein öffentliches Deployment. Das bescheinigt ein Security-Audit dem Installationstool für Kubernetes-Anwendungen.
Das Berliner Security-Unternehmen Cure53 hat einen Audit für die Version 3 von Helm vorgenommen, begutachtete in der Vergangenheit aber auch schon andere Projekte der Cloud Native Computing Foundation (CNCF), darunter Prometheus und Envoy. Die Empfehlung lautet, Helm 3 sei “gesund und ausgereift”. Die Firma empfiehlt der CNCF, das Projekt positiv zu begutachten. Die CNCF setzt Security-Audits voraus, um Projekte zu “befördern”. Graduierte Projekte gelten als produktionsreif, dazu gehören neben Kubernetes selbst Containerd, Fluentd, Jaeger und die erwähnten Envoy und Prometheus.
Laut dem Report von Cure53 habe man aus der Vogelperspektive auf Helm geschaut und sowohl die Code-Qualität als auch die Projektstruktur, die verwendeten Algorithmen und den Call Flow unter die Lupe genommen. Er äußert sich positiv zu den gewählten Implementierungssprachen und Bibliotheken, statische Code-Analysen hätten lediglich falsche Positive zu Tage gefördert. Das Signieren und Verifizieren der heruntergeladenen Chart Files klappe reibungslos, die Public-Key-Infrastruktur arbeite zuverlässig.
Kleine Baustellen
Auch ein wenig Kritik wurde geübt: So könnten die die integrierten Unit und Regression Tests besser sein, und die mitgeloggten Details etwas weniger ausführlich ausfallen. Die Dokumentation scheine komplett, sei aber nicht an allen Stellen aktuell. Insgesamt kritisiert der Report vor allem Details, die nicht unbedingt Security-kritisch sind. Lediglich der Ansatz für den Umgang mit Symlinks in Chart Files sei aus Security-Sicht etwas obskur, lasse sich aber nicht ausnutzen. Insgesamt wirke die Software aber “highly mature”, also außerordentlich ausgereift und lasse sich für ein öffentliches Deployment empfehlen.
