Доступно в редакциях:  EE, CSE Lite (1.64), CSE Pro (1.64)

Экспериментальная версия. Функциональность может сильно измениться. Совместимость с будущими версиями не гарантируется.

Модуль позволяет запускать регулярную проверку пользовательских образов в runtime на известные CVE, включая уязвимости Astra Linux, Redos и ALT Linux. Базируется на проекте Trivy. Для сканирования используются публичные базы уязвимостей, обогащаемые базами Astra Linux, ALT Linux и РЕД ОС.

Модуль каждые 24 часа выполняет сканирование в пространствах имён, которые содержат метку security-scanning.deckhouse.io/enabled="". Если в кластере отсутствуют пространства имён с указанной меткой, сканируется пространство имён default.

Как только в кластере обнаруживается пространство имён с меткой security-scanning.deckhouse.io/enabled="", сканирование пространства имён default прекращается. Чтобы снова включить сканирование для пространства имён default, необходимо установить у него метку командой:

kubectl label namespace default security-scanning.deckhouse.io/enabled=""