External Secrets 0.15.0版本发布：增强安全性与扩展功能

External Secrets是一个Kubernetes原生的开源项目，它通过自定义资源定义(CRD)将外部密钥管理系统(如AWS Secrets Manager、HashiCorp Vault等)与Kubernetes集群集成。该项目的主要目标是简化Kubernetes中密钥的管理流程，同时保持密钥存储的安全性和集中化管理。

核心功能增强

最新发布的0.15.0版本带来了多项重要改进，特别是在安全性和功能扩展方面：

1. 密钥编码元数据支持：新增了将密钥编码为解码值的元数据设置功能，这为密钥处理提供了更大的灵活性，特别是在需要特定编码格式的场景下。

2. 非标准模板分隔符：引入了对非标准模板分隔符的支持，这使得模板化处理更加灵活，能够适应更多样化的使用场景和现有系统集成需求。

3. 集群级推送密钥功能：实现了从命名空间推送所有密钥到外部存储的能力，这大大简化了批量密钥管理的操作流程。

安全改进

1. CodeQL扫描集成：新增了CodeQL扫描功能，用于检测代码部分的安全问题，这显著提升了项目的安全性保障能力。

2. 证书修订历史限制修复：修正了证书revisionHistoryLimit的schema问题，确保了证书管理功能的正确性和可靠性。

3. 密钥删除状态检查：在获取密钥时增加了对密钥是否处于删除状态的检查，防止在密钥删除过程中出现意外行为。

新增提供商支持

此版本新增了对cloud.ru密钥管理器的支持，扩展了项目的兼容性范围。这使得使用俄罗斯云服务提供商cloud.ru的用户也能受益于External Secrets的密钥管理能力。

性能与稳定性优化

1. 跳过不存在密钥：优化了密钥处理逻辑，现在会跳过不存在的密钥，提高了系统的健壮性。

2. Grafana生成器改进：增强了Grafana生成器与集群内Grafana的集成能力，并修复了服务账户角色传递的问题。

依赖项更新

项目持续保持依赖项的更新，包括：

• 更新了mkdocs-material至9.6.8版本
• 升级了trivy-action至0.30.0
• 更新了docker/login-action至3.4.0
• 升级了golangci-lint-action至6.5.1
• 更新了UBI基础镜像

这些更新不仅带来了性能改进，也修复了已知的安全问题。

总结

External Secrets 0.15.0版本在安全性、功能扩展和稳定性方面都有显著提升。新增的密钥编码元数据支持和非标准模板分隔符功能为高级用户提供了更多灵活性，而集群级推送密钥功能则简化了批量操作。安全方面的改进，特别是CodeQL扫描的引入，进一步巩固了项目作为企业级密钥管理解决方案的地位。对于使用Kubernetes并需要集中化管理密钥的团队来说，这个版本值得考虑升级。