KubeCon und CloudNativeCon: Größte Open-Source-Konferenz Europas hat begonnen

Noch bis zum 21. April findet die europäische Version der KubeCon+CloudNativeCon in Amsterdam statt. Der Ansturm auf die Hausmesse der Cloud Native Computing Foundation (CNCF) war in diesem Jahr so groß wie noch nie zuvor: Über 10.000 Teilnehmer sind in die niederländische Hauptstadt gekommen, weitere 2000 schafften es nur auf die Warteliste, viele davon sind online dabei.

Mit diesen Zahlen ist diese Konferenz die größte Open-Source-Konferenz in Europa. Bemerkenswert dabei ist, dass mehr als die Hälfte der Teilnehmer das erste Mal dabei ist. Und auch die anderen Zahlen der CNCF entwickeln sich stetig nach oben: Inzwischen sind knapp 160 Projekte unter der Schirmherrschaft der CNCF. Über 200.000 Entwickler aus mehr als 180 Ländern sind beteiligt, sagte die Organisation unter dem Dach der Linux Foundation, die ursprünglich entstand, um den Code von Kubernetes zu verwalten.

In der Eröffnungsrede verkündete Chris Aniszczyk, der CTO der CNCF, neue zahlungskräftige Mitglieder auf Gold- beziehungsweise Platin-Level. Zu ersterem gehören die Wirtschaftsprüfungsgesellschaft EY (Ernst & Young) und der japanische Industrie-Mischkonzern Hitachi. Der indische IT-Dienstleister HCLTech war bereits Gold-Mitglied und hat sich für das Upgrade auf den Platin-Status entschieden. Marktmitbewerber Infosys ist gleich direkt auf dieser höchsten Stufe eingestiegen. Die Liste der neuen Mitglieder mit Silber-Level umfasst mehr als 50 Firmen.

Kubernetes-Sicherheitsaudit

Kubernetes ist das bekannteste Projekt der CNCF und war das erste, das von der CNCF den Status Graduated bekommen hat. Seit 2018 muss sich der Container-Orchestrator regelmäßigen Sicherheitsüberprüfungen durch eine externe Firma unterziehen. Im Rahmen der Konferenz veröffentlicht die CNCF die aktuelle Fassung des Security-Audit-Berichts.

Grundlage des Audits ist die Version 1.24 von Kubernetes. Vier Punkte hoben die Prüfer hervor: Weniger ein technisches als mehr ein organisatorisches Problem ist die Komplexität der Berechtigungssteuerung. Die Prüfer äußern generelle Bedenken, dass Administratoren alle Details richtig verstehen – Fehler manifestieren sich in unnötigen Berechtigungen und vermeidbaren Lücken. Schwachstellen in der Kommunikation verschiedener Kubernetes-Komponenten lassen sich ausnutzen, um administrativen Zugriff zu erlangen. Dies geht einher mit Unzulänglichkeiten in der Protollierung oder Überprüfung von Ereignissen. Der letzte Punkt ist sehr konkret und sogar unter CVE-2022-3162 dokumentiert. Ein Fehler in der Verarbeitung von Benutzereingaben erlaubt das Umgehen von bestimmten Berechtigungsprüfungen und damit den Zugriff auf Daten, die eigentlich nicht zugänglich sein sollen.

Qualifikation

Die CNCF bemüht sich, Kubernetes und Projekte aus dem Ökosystem einem immer breiteren Publikum bekannt und verständlich zu machen. Das umfangreiche Trainingsprogramm wurde nun um zwei neue Zertifizierungen erweitert: "Cloud Native Security Associate" und "Certified GitOps Associate".

Aniszczyk machte in seiner Eröffnungsrede noch einmal Werbung für das hauseigene Mentoren-Progamm. Dazu gehören auch Veranstaltungen wie Googles Summer of Code. Typischerweise arbeiten Mentee und Mentor gemeinsam an einem Projekt. Zusätzlich gibt das Programm Hinweise, wie man besonders effektiv und nützlich die jeweilige Rolle ausfüllt. An einem konkreten Beispiel konnten die Teilnehmer bei der Eröffnungsrede sehen, wie sich eine Entwicklerin von einem kompletten Kubernetes-Neuling zum Mentor entwickelt hat. Eine bekannte Hürde für den Einstieg in jegliche Technologie ist das unbekannte Fachvokabular oder auch Abkürzungen. Seit einiger Zeit verwaltet die CNCF-Gemeinde ein Glossar für den Bereich "Cloud Native". Dieses ist inzwischen in 10 Sprachen verfügbar – Deutsch ist ebenfalls dabei.

Die KubeCon Europe 2023 soll nicht die letzte ihrer Art sein und die CNCF teilte bereits Termin und Ort für die Veranstaltung im Jahr 2024 mit. Vom 19. bis 22. März ist dann Paris der Treffpunkt der Cloud-Native-Gemeinde. Die Nordamerika-Variante der Konferenz findet Anfang November 2023 in Chicago statt. Erstmals seit 2019 ist auch China wieder Teil des Terminplans: Ende September begrüßt die CNCF die Community in Shanghai.

(jam)