根據我們最近調查[1] 對 IT 決策者的調查，安全是與容器采用相關的最大問題，54%的受訪者中的安全問題導致應用程序部署延遲。

首先，Kubernetes 是開發和 DevOps 團隊加速和擴展容器化應用程序開發、部署和管理的工具。Red Hat、Amazon、Microsoft 和 Google 等提供商已添加安全功能以增強 Kubernetes 中的基本功能。與此同時，商業安全供應商已經加緊為更高級的用例提供企業級安全解決方案。

與此同時，Kubernetes 社區一直非常積極地發布開源安全工具來填補Kubernetes 中存在的安全漏洞。客戶有豐富的開源安全工具可供選擇，我們的調查結果表明，沒有單一的開源安全工具主導 Kubernetes 安全市場。

下面，您將找到我們的調查受訪者確定的前八名最受歡迎的開源 Kubernetes 安全工具。

1.Open Policy Agent (OPA)

32%的受訪者使用open-policy-agent[2](OPA)保護 Kubernetes 。雖然 OPA 是一種通用策略引擎，但它是用于實施上下文感知安全策略的非常強大的工具。隨著從 Kubernetes v.1.21 開始棄用[3]Pod 安全策略（并在 v.1.25 完全刪除），許多組織可能會轉向 OPA 來填補這一空白。

2.KubeLinter

并列第一的是KubeLinter[4] ，是一個靜態分析工具，可以掃描 YAML 文件和 Helm 圖表。KubeLinter 分析 Kubernetes YAML 文件和 Helm 圖表，并根據各種最佳實踐對其進行檢查，重點是生產就緒性和安全性。

KubeLinter 附帶默認檢查，旨在為您提供有關 Kubernetes YAML 文件和 Helm 圖表的有用信息。這有助于團隊盡早并經常檢查安全配置錯誤和 DevOps 最佳實踐。其中一些常見示例包括以非 root 用戶身份運行容器、強制執行最低權限以及僅將敏感信息存儲在機密中。

3.Kube-bench

近四分之一的受訪者使用Kube-bench，這是一種根據 CIS 基準測試中推薦的 Kubernetes 安全檢查來審核 Kubernetes 設置的工具。掃描是使用 YAML 文件配置的，工具本身是用 Go 編寫的，Go 是 Kubernetes 開發人員熟悉的語言。

在自我管理控制平面組件時，此工具特別有用。

4.Kube-hunter

由 Kube-bench 背后的同一團隊構建，Kube-hunter[5] 尋找 Kubernetes 集群中可利用的安全弱點。Kube-hunter 更有用的功能之一是能夠利用它發現的漏洞來尋找進一步的漏洞。23% 的受訪者使用 Kube-hunter。

5.Terrascan

Terracan建立在 OPA 之上，是一種用于基礎設施即代碼的開源靜態代碼分析器，22% 的受訪者使用它。Terrascan 擁有超過 500 多種跨各種應用程序的安全最佳實踐策略，包括 Terraform、Kubernetes (JSON/YAML)、AWS、Azure、GCP、Kubernetes 和 GitHub，Terrascan 可以在配置基礎設施之前檢測安全漏洞和合規違規并降低風險。

6.Falco

作為此列表中唯一為運行時安全性而構建的開源工具， 21% 的受訪者使用Falco[6]來保護在 Kubernetes 中運行的容器化應用程序。Falco 還提供安全策略，這些策略使用來自 Kubernetes 和內核事件的上下文數據來檢測表示威脅的異常應用程序行為。

7.Clair

Clair[7]是一種開源安全工具，用于掃描容器鏡像中的已知漏洞。Clair 是一個靜態分析工具，因此它無法在運行時檢測漏洞。11% 的受訪者使用 Clair。

8.Checkov

與 Terrascan 類似，Checkov[8]是基礎設施即代碼的靜態代碼分析器，9% 的受訪者使用該代碼。Chekov 的最新版本引入了基于上下文的分析。它使用基于圖形的云基礎架構掃描來檢測錯誤配置，這些云基礎架構配備了 Terraform、Terraform plan、Cloudformation、Kubernetes、Dockerfile、Serverless 或 ARM 模板等應用程序。

應該指出的是，雖然大多數受訪者至少使用了一種用于 Kubernetes 的開源安全工具，但近十分之一的受訪者選擇不使用任何開源安全工具。

原文鏈接：https://mp.weixin.qq.com/s/vOI3Lcfn_Wm30r0rk7iiHQ