trivy operator
v0.22.0
Trivy Operator 利用 Trivy 持续扫描 Kubernetes 集群是否存在安全问题。这些扫描在安全报告中汇总为 Kubernetes 自定义资源定义,可通过 Kubernetes API 进行访问。 Operator 通过观察 Kubernetes 的状态变化并自动触发安全扫描作为响应来实现这一点。例如,创建新 Pod 时会启动漏洞扫描。这样,用户就可以以Kubernetes-native方式查找和查看与不同资源相关的风险。
Trivy Operator 自动生成和更新安全报告。这些报告是为了响应 Kubernetes 集群上的新工作负载和其他变化而生成的,并生成以下报告:
漏洞扫描:对 Kubernetes 工作负载、控制平面和节点组件(api 服务器、控制器管理器、kubelet 等)进行自动漏洞扫描
ConfigAudit 扫描:使用预定义规则或自定义开放策略代理 (OPA) 策略对 Kubernetes 资源进行自动配置审核。
暴露的秘密扫描:自动秘密扫描,可查找并详细说明集群中暴露的秘密的位置。
RBAC 扫描:基于角色的访问控制扫描提供有关已安装的不同资源的访问权限的详细信息。
K8s 核心组件基础设施评估扫描 Kubernetes 基础设施核心组件(etcd、apiserver、scheduler、controller-manager 等)设置和配置。
k8s 过时的 api 验证 - configaudit 检查将验证资源 api 是否已被弃用并计划删除
合规报告
NSA、CISA Kubernetes 强化指南 v1.1 网络安全技术报告发布。
制作 CIS Kubernetes Benchmark v1.23 网络安全技术报告。
Kubernetes pss-baseline,Pod 安全标准
Kubernetes pss-restricted,Pod 安全标准
适用于 Kubernetes 工作负载的 SBOM(软件物料清单生成)。
如果您希望我们继续开发和改进 trivy-operator,请为该存储库加注星标! ?
官方文档提供了详细的安装、配置、故障排除和快速入门指南。
您可以使用静态 YAML 清单安装 Trivy-operator Operator,并按照入门指南查看如何自动生成漏洞和配置审核报告。
Trivy Operator 可以通过 Helm Chart 轻松安装。 Helm Chart 可以通过以下两个选项之一下载:
添加 Aqua 图表存储库:
helm 仓库添加 aqua https://aquasecurity.github.io/helm-charts/ 舵回购更新
安装 Helm Chart:
helm 安装 trivy-operator aqua/trivy-operator
--命名空间三重系统
--创建命名空间
--版本0.21.4安装 Helm Chart:
helm 安装 trivy-operator oci://ghcr.io/aquasecurity/helm-charts/trivy-operator
--命名空间三重系统
--创建命名空间
--版本0.21.4这会将 Trivy Helm Chart 安装到trivy-system命名空间中并开始触发扫描。
尽管我们正在努力保持新版本向后兼容以前的版本,但该项目仍在孵化中,一些 API 和自定义资源定义可能会发生变化。
在这个早期阶段,我们希望收到您对 Trivy-Operator 整体概念的反馈。随着时间的推移,我们希望看到集成不同安全工具的贡献,以便用户可以以标准的 Kubernetes 原生方式访问安全信息。
有关设置开发环境以及我们期望的贡献工作流程的信息,请参阅贡献。
请确保您在与 Aqua 项目及其社区的任何互动过程中遵守我们的行为准则。
Trivy-Operator 是一个 Aqua Security 开源项目。
了解我们的开源工作和产品组合。
加入社区,并在 GitHub Discussions 或 Slack 中与我们讨论任何问题。
