云原生周刊:K8s 严重漏洞
开源项目推荐
KitOps 是一款开源的 DevOps 工具,专为 AI/ML 项目的全生命周期管理而设计,通过将模型、数据集、代码和配置打包并版本化为符合 OCI(开放容器标准)的工件,简化了 AI/ML 工作流的部署与管理。KitOps 支持统一打包,将 AI/ML 模型、数据集和配置封装为便携式工件,同时提供详细的版本控制,确保机器学习实验的可追溯性和可复现性。
Yokai 是一个简单、模块化且可观测的开源 Go 框架,专为构建高效可靠的后端应用而设计。它采用模块化架构,允许开发者根据具体需求灵活组装功能模块,简化开发流程并提升项目的可维护性。Yokai 内置对可观测性的支持,提供详细的日志、指标和追踪功能,帮助开发者快速定位和解决问题,同时确保系统的高性能和稳定性。
Venator 是一个灵活的威胁检测平台,旨在通过简化规则管理和部署流程,提升安全运营效率。它原生支持 K8s,能够利用 K8s CronJob 和 Helm 快速部署,同时支持独立运行或与其他作业调度器(如 Nomad)配合使用,满足多样化的部署需求。
Piko 是一款开源的 Ngrok 替代方案,专为承载生产流量而设计,同时具有简单易用的自托管能力,特别适合部署在 K8s 环境中。它提供安全、高效的隧道服务,帮助开发者快速暴露本地服务到公网,无需繁琐的配置。
文章推荐
近期发现的高危安全漏洞(CVE-2024-10220)影响使用 in-tree gitRepo 卷的 Kubernetes 集群,该漏洞通过目标仓库中的 hooks 文件夹,允许攻击者在容器边界之外执行任意命令,严重威胁集群安全。受影响的 Kubernetes 版本包括 kubelet v1.30.0 至 v1.30.2、v1.29.0 至 v1.29.6 以及 v1.28.11 及更早版本。建议管理员升级至修复版本,如 kubelet v1.31.0、v1.30.3、v1.29.7 和 v1.28.12。同时,鉴于 gitRepo 卷已被弃用,建议使用 init 容器执行 Git 克隆操作后将目录挂载到 Pod 的容器中以减少风险。
这篇文章探讨了在测试环境中使用 Docker-in-Docker(DinD)所面临的挑战,如安全风险、稳定性问题和调试复杂性。作者介绍了 Testcontainers Cloud 作为一种替代方案,强调其通过将容器执行转移至云端,提供了更安全、高效且对开发者友好的测试环境。文章还详细说明了 Testcontainers Cloud 如何解决 DinD 的主要痛点,并提供了在本地开发和 CI/CD 管道中集成 Testcontainers Cloud 的实用指南。
本文探讨了现代开发者在将应用程序从本地开发环境迁移到 Kubernetes 生产环境过程中所面临的挑战和最佳实践。作者强调,尽管 Kubernetes 简化了容器的运行和编排,但从本地开发到 Kubernetes 的过渡并非简单的复制粘贴。文章介绍了开源工具如 Podman 和 Docker,如何帮助开发者在本地轻松地容器化应用程序。此外,作者还提供了从编写代码、在本地容器化、部署到 Kubernetes 集群,以及在本地调试 Kubernetes 应用程序的完整开发体验。
云原生动态
Docker Desktop 4.36 引入了强大的更新,以简化企业管理并增强安全性。
Docker Desktop 4.36 版本的主要功能包括:
- Docker Business 订阅的新管理功能:
- 使用 macOS 配置文件强制登录(早期访问计划)
- 强制同时为多个组织登录(抢先体验计划)
- 使用 PKG 安装程序批量部署 Docker Desktop for Mac(早期访问计划)
- 使用桌面设置管理通过管理控制台 (早期访问程序) 来管理和强制执行默认设置
- 增强容器隔离 (ECI) 改进
- 其他改进:
- WSL 2 现在速度更快、更可靠,并且通过 Mono 分布增强了安全性
Shipwright v0.14.0 发布,这是加入云原生计算基金会后的首次发布。新版本新增了漏洞扫描功能,集成到镜像构建过程中,确保有漏洞的镜像不会进入容器注册表。虽然仍需定期重新扫描以保持安全,这一功能尤其适用于基础镜像停止更新的情况。此外,Shipwright CLI 现在支持构建参数。
Keycloak 已完成模糊测试审计。
此次审计将 Keycloak 整合到OSS-Fuzz 项目中,该项目是 Google 为关键开源项目开发和提供的开源模糊测试程序。获准的项目可以在其 OSS-Fuzz 版本中包含模糊测试,OSS-Fuzz 将使用大量计算运行这些测试,以增加项目在恶意威胁者发现潜在错误和漏洞之前发现它们的机会。
模糊测试在审计期间发现了一个低严重程度的崩溃,审计团队使用上游补丁修复了该问题。随着 Keycloaks 集成到 OSS-Fuzz,其模糊测试在审计后继续测试 Keycloak 代码。
关于KubeSphere
KubeSphere (https://kubesphere.io)是在 Kubernetes 之上构建的开源容器平台,提供全栈的 IT 自动化运维的能力,简化企业的 DevOps 工作流。
KubeSphere 已被 Aqara 智能家居、本来生活、东方通信、微宏科技、东软、华云、新浪、三一重工、华夏银行、四川航空、国药集团、微众银行、紫金保险、去哪儿网、中通、中国人民银行、中国银行、中国人保寿险、中国太平保险、中国移动、中国联通、中国电信、天翼云、中移金科、Radore、ZaloPay 等海内外数万家企业采用。KubeSphere 提供了开发者友好的向导式操作界面和丰富的企业级功能,包括 Kubernetes 多云与多集群管理、DevOps (CI/CD)、应用生命周期管理、边缘计算、微服务治理 (Service Mesh)、多租户管理、可观测性、存储与网络管理、GPU support 等功能,帮助企业快速构建一个强大和功能丰富的容器云平台。
本文由博客一文多发平台 OpenWrite 发布!