云原生安全开源项目 CNSI（Narrows）v0.3 发布-低调大师

云原生安全开源项目 CNSI（Narrows）v0.3 发布

2023-03-30 463

云原生安全开源项目 CNSI（项目代号：Narrows）发布了 0.3 版本，新增了 “Exporter”( 导出器) 的组件，帮助用户更简单的拓展潜在的数据消费者。同时该版本将 kube-bench 的错误配置项扫描器 (misconfiguration scanner) 的部署形式由 CronJob 变为 DaemonSet 的形式，并且可以自动监听配置文件的变化，在文件改变时自动触发扫描。

除此之外，在这个 release 中，允许用户可以不通过克隆代码，直接使用 Helm 命令安装部署 Narrows。
(详细信息请见：https://github.com/vmware-tanzu/cloud-native-security-inspector/tree/0.3.0/src/tools/installation/charts/cnsi/README.md)

其他更新包括 e2e-framework 的测试框架被首次引入到项目中，用以进行基本流程的测试。之前版本中通过 Custom Resources (自定义资源) 方式在 Kubernetes 中保存扫描报告的功能，在此版本中被移除。所有的报告都会通过 “Exporter” 组件默认导入到 OpenSearch 中存储。

新引入的 Exporter 组件

在 0.3.0 的版本中，我们新增了一个叫做”Exporter” 的组件，主要作用是用来解耦扫描器 (Scanner) 和扫描报告的消费者 (Consumer)。在之后，扫描器只聚焦于安全检测和生成对应的扫描报告。而”Exporter” 主要负责将扫描器生成的报告发送给数据消费者。

这种调整使得用户可以以较少的代码修改，从而为 Narrows 灵活的自定义新的数据消费者。Exporter 做为一个可以独立运行和部署的模块，其代码在路径 src/pkg/exporter 路径下。对应的 Dockerfile 是 src/Dockerfile.exporter。它可以被 src/tools/installation/yaml/data-exporter.yaml 文件部署 (也可以通过 Helm 的方式部署安装，详见 README)，以 Deployment 的形式运行在 Kubernetes 集群中，可以使用 http://cnsi-exporter-service.[namespace].svc.cluster.local:6780/forward 这个 endpoint 来进行访问。

导出器 (Exporter) 会作为一个 web 服务运行，并监听在这个端口 (endpoint) 上，当它收到扫描器发来的 post 请求时，会解析请求中的负载 (payload)，并按照扫描器 (Scanner) 和导出器 (Exporter) 之间约定的格式 (protocol) 进行解析。

在这个格式 (protocol) 中，包含了扫描器的名称，数据消费者的有关配置（URL，credentials 等）和要导出的报告的具体内容。

在目前的导出器 (Exporter) 中，封装了 OpenSearch 和 VAC Governor 的 http client。可以根据格式 (protocol) 中设置的值进行处理。

关于 VMware Application Catalog Governor

VAC 是 VMware Application Catalog 缩写，它构建于 Bitnami 的生态之上。它提供一系列的预打包和验证的开源容器镜像，可以根据客户选择而定制。VAC 提供的镜像目录可以提高开发人员的敏捷性，帮助他们发现、迭代和快速上线。VAC Governor 是一个为 VAC 提供软件检测能力的组件。目前 Project Narrows 已经可以与 VAC Governor 进行集成，从而在用户许可的情况下，将一部分工作负载信息收集至 VAC Governor。

（详细信息请见：https://github.com/vmware-tanzu/cloud-native-security-inspector/tree/0.3.0/docs/GOVERNOR.md）

Narrows 已经由 VMware 公司开源，采用商业化友好的阿帕奇 2.0 软件许可，方便用户作扩展和创新。欢迎广大用户参与到我们的开源项目中，并期待您的使用和反馈。如果您对 Narrows 开源项目感兴趣，希望与我们更密切地合作，或者希望进行测试和试用、提出建议或 bug，请发邮件至 narrows @ vmware.com。

内容来源｜公众号：VMware 中国研发中心

本文作者：Simon Zhao （赵仁明），VMware 云原生实验室架构师。10 年 + 云平台、数据平台、人工智能基础设施平台研发经验。目前主要关注云原生与人工智能领域的开源及创新项目。

微信关注我们

原文链接：https://www.oschina.net/news/234714/narrows-0-3-released

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Rustls 0.21.0 发布，内存安全的 TLS 实现

Rustls 是一个用 Rust 编写的现代 TLS 库，旨在成为一个内存安全的 OpenSSL 替代品；它使用ring进行加密，使用webpki进行证书验证。Rustls 旨在提供良好的加密安全级别，无需配置即可实现该安全性，并且不提供不安全的功能或过时的加密技术。 Rustls 0.21.0 现已发布，此版本有两个主要的新功能和许多其他改进。第一个重要特性是一项期待已久的功能 —— 支持包含 IP 地址的 TLS 证书。Rustls 现在可用于设置通过 IP 而不是域名寻址的 TLS 连接。这对于 Kubernetes pod 这样经常使用 IP 地址而不是域名的东西很有用；对于 HTTPS/TLS 上的 DNS 也很有用，它需要服务器的 IP 地址以避免对名称解析的循环依赖。第二大特性是支持RFC8446 C.4 客户端跟踪预防。这意味着被动网络观察者将不再能够将连接与 ticket reuse 相关联。此外，公告还表示，Rustls 正收到来自ISRG 的大力投资。“我们的目标是使 Rustls 成为需要 TLS 支持的软件中最具吸引力的选择。” 目前，Rustls 开发...

2023-03-30

583

漏洞描述 Apache Archiva是一个用于软件构建和部署的开源项目。该项目受影响版本存在存储型XSS漏洞，由于Archiva未对用户输入的目录名进行过滤或转义，具备登录权限的攻击者可在目录名中注入JavaScript 代码。当用户访问包含JavaScript 代码的目录时，目录名中的JavaScript 代码被浏览器执行从而导致权限提升造成信息泄露等。漏洞名称 Apache Archiva 存在存储型XSS漏洞漏洞类型跨站脚本发现时间 2023-03-30 漏洞影响广度小 MPS编号 MPS-2023-7750 CVE编号 CVE-2023-28158 CNVD编号 - 影响范围 org.apache.archiva:archiva-web-common@(-∞, 2.2.10) 修复方案将组件 org.apache.archiva:archiva-web-common 升级至 2.2.10 及以上版本参考链接 https://www.oscs1024.com/hd/MPS-2023-7750 https://nvd.nist.gov/vuln/detail/CV...

2023-03-30

357

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。