最近,雲原生計算基金會(CNCF)技術指導委員會(TOC)宣佈接收 Kubescape 為孵化專案。Kubescape 為 Kubernetes 環境提供了從開發到部署的全方位安全覆蓋。使用者可以透過 CLI 工具和 Kubernetes 運算子來使用它。
這一訊息是在 CNCF 官方部落格和 ARMO 公司的部落格上釋出的。其中,ARMO 是 Kubescape 的母公司。
在 2021 年釋出之初,Kubescape 只是一個為了滿足 NSA-CISA Kubernetes 加固指南要求的 CLI 掃描工具。現在,它已經發展成為一個完備的安全平臺。
在第一個版本中,Kubescape 檢查叢集和工作負載的配置設定(如 Helm、YAML、RBAC 等)是否符合 NSA-CISA Kubernetes 加固指南。經過不斷發展,該專案進一步滿足了 Kubernetes DevOps 和網路安全社群日益增長的安全需求。
現在,Kubescape 可以執行配置掃描,提供加固建議,以及依據流行的安全框架(如 MITRE ATT&CK 和 Kubernetes CIS 基準)進行漏洞掃描。它還提供了基於 eBPF 的可達性分析、Kubernetes 網路策略建議和基於異常的威脅檢測。
在底層,Kubescape 使用 Open Policy Agent 來驗證 Kubernetes 物件是否滿足 Kubescape Regolibrary 專案的要求。它使用 Grype 進行映象掃描,使用 Copacetic 為映象打補丁,並將 Inspektor Gadget 用於 eBPF。使用者可以將 CLI 掃描結果轉換為 HTML 或 PDF,匯出為 JSON、JUnit XML 或 SARIF,或者提交到雲服務。
圖片來源:Kubescape GitHub 專案
Kubescape 集成了 IDE、CI/CD 管道(如 Kubescape GitHub Action)和監控系統(如 Prometheus)。它還使用 Kubernetes 運算子提供了叢集內安裝支援。
在談及這份公告時,ARMO 公司 CTO 兼 Kubescape 核心維護者 Ben Hirschberg 表示:
Kubescape 已經有一些值得注意的應用案例,包括英特爾的安全優先、亞馬遜雲科技的安全培訓、Bitnami 的 helm 圖表安全改進以及 Energi Danmark 的 CI/CD 管道整合。
在 Hacker News 上討論這些安全掃描工具的有效性時,一位 GitHub 前安全產品 PM 在評論中做了一個很好的總結:
到目前為止,Kubescape 專案在 GitHub 上已經獲得了 10.6k 個星標。感興趣的使用者可以閱讀貢獻指南,以及從 Kubscaping 告示牌上檢視當前存在的問題。
宣告:本文由 InfoQ 翻譯,未經許可禁止轉載。