Kubernetes原生容器安全平台创业公司StackRox,开源了一款能够侦测Kubernetes错误配置的工具KubeLinter,让开发人员能够以简单的方法,在Kubernetes的YAML文件和HELM图表尚未部署到集群之前,先以最佳实践进行检查,并对其进行分析调试。
官方提到,配置Kubernetes应用程序很困难,而且即便配置成功,也不代表应用程序已经准备好,可在生产环境中运行,因为Kubernetes的默认配置,通常不安全,也不适合用于生产环境。因此Stackrox开发了KubeLinter,要让StackRox内部以及用户,可以提升Kubernetes配置安全性。
KubeLinter用Go编写而成,并且打包成静态且自包含的二进制文件,用户可以快速安装,就能用来扫描Helm图表和YAML文件,并立即看到扫描结果。官方提到,KubeLinter会执行默认的检查,并且提供用户有用的信息,像是建议以非Root身份执行容器、强制使用最低权限,并且以机密的方式存储敏感信息等。
除了KubeLinter提供的默认扫描配置,用户也能够自己设置扫描的条件,像是根据团队遵循的政策,激活或是禁用检查,或是创建自定义的检查。KubeLinter被设计成简单易用的形式,且能与GitHub Action、Jenkins、Travis CI以及CircleCI集成,自动化静态分析Kubernetes文件。