Доступно в редакциях: EE, CSE Lite (1.64), CSE Pro (1.64)
Экспериментальная версия. Функциональность может сильно измениться. Совместимость с будущими версиями не гарантируется.
Модуль позволяет запускать регулярную проверку пользовательских образов в runtime на известные CVE, включая уязвимости Astra Linux, Redos и ALT Linux. Базируется на проекте Trivy. Для сканирования используются публичные базы уязвимостей, обогащаемые базами Astra Linux, ALT Linux и РЕД ОС.
Модуль каждые 24 часа выполняет сканирование в пространствах имён, которые содержат метку security-scanning.deckhouse.io/enabled=""
.
Если в кластере отсутствуют пространства имён с указанной меткой, сканируется пространство имён default
.
Как только в кластере обнаруживается пространство имён с меткой security-scanning.deckhouse.io/enabled=""
, сканирование пространства имён default
прекращается.
Чтобы снова включить сканирование для пространства имён default
, необходимо установить у него метку командой:
kubectl label namespace default security-scanning.deckhouse.io/enabled=""