Vesta v1.0.2 发布，一款实用的云原生基线安全检查工具-低调大师

Vesta v1.0.2 发布，一款实用的云原生基线安全检查工具

2023-01-01 609

Vesta是一款实用、方便的镜像扫描以及Docker、Kubernetes基线安全检查工具。致力检查因为Docker或Kubernetes错误配置而导致的各种潜在安全问题的发生。

Vesta v1.0.2更新内容如下:

新功能

增加cilium版本漏洞检测
增加kubelet read-only-port参数以及kubectl proxy的错误使用的检测
增加etcd安全配置的检测
增加RoleBinding安全配置的检测
镜像扫描增加go二进制检测

改进

优化Layers整合的方法，镜像扫描速度加快

目前vesta支持的Kubernets安全检查配置列表为

Supported	Check Item	Description	Severity
✔	PrivilegeAllowed	危险的特权模式	critical
✔	Capabilities	危险capabilities被设置	critical
✔	PV and PVC	PV 被挂载到敏感目录并且状态为active	critical/medium
✔	RBAC	K8s 权限存在危险配置	high/medium
✔	Kubernetes-dashborad	检查 `-enable-skip-login`以及 dashborad的账户权限	critical/high/low
✔	Kernel version (k8s versions is less than v1.24)	当前内核版本存在逃逸漏洞	critical
✔	Docker Server version (k8s versions is less than v1.24)	Docker Server版本存在漏洞	critical/high/medium/low
✔	Kubernetes certification expiration	证书到期时间小于30天	medium
✔	ConfigMap and Secret check	ConfigMap 或者 Secret是否存在弱密码	high/medium
✔	Auto Mount ServiceAccount Token	Pod默认挂载了 `/var/run/secrets/kubernetes.io/serviceaccount/token`.	low
✔	NoResourceLimits	没有限制资源的使用，例如CPU,Memory, 存储	low
✔	Job and Cronjob	Job或CronJob没有设置seccomp或seLinux安全策略	low
✔	Envoy admin	Envoy admin被配置以及监听`0.0.0.0`.	high/medium
✔	CVE-2022-29179	检测CVE-2022-29179是否存在	high
✔	Kubelet 10255 and Kubectl proxy	10255 port 打开或 Kubectl proxy开启	high/medium/low
✔	Etcd configuration	Etcd 安全配置检查	high/medium

同时针对镜像Layer整合方法做了大致对比，文章如下

关于vesta与trivy、clair的镜像扫描方法分析

微信关注我们

原文链接：https://www.oschina.net/news/223469

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

PDManer[元数建模]公有云版本已正式发布

2023来啦，各位开源中国的同学，新年快乐！期待已久的公有云在线版已于2023年1月1日正式发布，微信扫码即用。功能特点如下： 1. 拥有客户端版本的全部功能； 2. 免费赠送3个协作席位，实时在线协作； 3. 平台公云版，开源版均能实现文件格式通用； 4. 提供模型广场，发布或者共享他人成果； 5. 将来持续推出更多实用功能；欢迎使用，体验地址：http://pdmaas.pdmaner.com/

2023-01-01

705

Logseq 是一个知识管理和协作的平台。它专注于隐私和用户控制。服务器永远不会存储或分析你的私人笔记。目前支持 Markdown 和 Emacs Org 模式（更多内容即将加入）。 Logseq 0.8.15 发布，更新内容如下：这个版本通过对所有路径应用 Unicode 规范化，修正了由非标准路径命名引起的空页。建议用户尽快更新。功能使用快捷键 mod+a 来选择父块直至整个页面应用内的 HTTP 服务器用于调用 API 修复修复由非标准路径命名引起的空页面，对所有路径应用 unicode 规范化修复在 org 模式下的格式属性引用不能通过快捷键在模式间切换为 Web 和发布提供一致的页面链接查询表的排序增强在 Web 应用中显示完整的搜索结果启用 iOS 文件共享，以便用 Finder 或 iTunes 传输文件在右键菜单中添加几个缺失的 i18n 项目其他应用程序用户界面的措辞改进更新语言翻译为新的快捷方式和菜单添加日文翻译更多详情可查看：https://github.com/logseq/logseq/releases/tag/0.8.15...

2023-01-01

499

资源下载

更多资源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。