StackRox 4.7.0版本深度解析：安全扫描与集群管理的重大升级

项目简介

StackRox（现为Red Hat Advanced Cluster Security for Kubernetes）是一款专为Kubernetes环境设计的安全防护平台，提供从镜像构建到运行时保护的完整安全解决方案。作为云原生安全领域的领导者，StackRox通过深度集成Kubernetes和容器技术，帮助企业实现容器化应用的全面安全防护。

核心升级解析

1. RHCOS节点扫描能力全面增强

4.7.0版本在RHCOS（Red Hat Enterprise Linux CoreOS）节点扫描方面实现了重大突破：

• 默认启用Scanner V4：系统现在默认采用Scanner V4进行安全扫描，相比传统StackRox扫描器，新版本在性能和安全检测能力上都有显著提升。当Scanner V4完成安装并与Central连接后，系统会自动优先使用这一新引擎。

• 容器化镜像漏洞检测：新增了对RHCOS容器化镜像本身的漏洞检测能力，这意味着现在可以识别操作系统层级的潜在安全风险，而不仅仅是运行在其上的容器应用。

• 智能报告缓存：通过引入报告缓存机制，有效减少了节点上的重复IO负载。这一优化特别适合大规模集群环境，能显著降低系统资源消耗。

2. 日志管理与证书自动化

• 可配置日志轮转：新增ROX_LOGGING_MAX_ROTATION_FILES和ROX_LOGGING_MAX_SIZE_MB环境变量，允许管理员灵活配置日志文件的数量和大小。这一改进使得日志管理更加精细化，避免了日志文件无限增长导致的存储问题。

• 服务证书自动续期：对于通过Helm或Operator安装的安全集群，现在支持服务证书的自动续期功能。这一自动化特性大大减少了证书管理的工作量，降低了因证书过期导致的服务中断风险。

3. 安全扫描能力扩展

Scanner V4在这一版本中获得了多项增强：

• 操作系统支持调整：新增对openSUSE Leap 15.5和15.6的支持，同时停止了对15.0和15.1版本的维护。这一变化反映了对最新操作系统版本的安全关注。

• 数据源优化：Scanner V4现在使用Red Hat的VEX文件替代原有的CVE映射数据，用于处理Red Hat官方镜像中的非RPM内容漏洞。这一变化提高了漏洞数据的准确性和时效性。

• CSAF数据集成：通过整合Red Hat的CSAF安全公告数据，解决了Red Hat安全公告（RHSA/RHBA/RHEA）数据不一致的问题。管理员可以通过设置ROX_SCANNER_V4_RED_HAT_CSAF环境变量来禁用这一功能。

4. 集群管理与认证改进

• 集群注册密钥（CRS）：引入了集群注册密钥作为init bundles的替代方案，用于安全集群的注册流程。这一新机制提供了更安全、更灵活的集群管理方式。

• Azure认证增强：支持基于Azure工作负载或托管身份的短期令牌认证，提高了与Azure集成的安全性和便利性。需要注意的是，Azure集成payload结构发生了变化，旧格式虽仍被支持但已被标记为弃用。

5. 软件物料清单（SBOM）生成（技术预览）

作为技术预览功能，4.7.0版本新增了SBOM生成能力：

• 支持通过UI界面、CLI命令(roxctl image sbom)和API端点(/api/v1/images/sbom)从Scanner V4镜像扫描生成SBOM
• 目前仅支持通过Central执行的扫描，对委托扫描的支持将在未来版本中提供
• 管理员可以通过设置ROX_SBOM_GENERATION环境变量为false来禁用此功能

向后兼容性说明

• Collector精简模式移除：自4.5版本被标记为弃用后，Collector的精简模式（Slim Mode）在此版本中已被完全移除。任何配置为使用精简模式的集群将自动转换为使用常规Collector镜像。

• 环境变量变更：RELATED_IMAGE_COLLECTOR_SLIM和RELATED_IMAGE_COLLECTOR_FULL环境变量已被移除，统一使用RELATED_IMAGE_COLLECTOR。需要自定义Collector镜像的用户应相应调整配置。

• 节点扫描API变更：ROX_NODE_INDEX_CONTAINER_API环境变量在Compliance pod中不再有效，因为节点扫描器从未使用过Red Hat容器目录。

技术深度解析

进程监控优化

4.7.0版本在Collector组件中实现了更智能的进程监控机制。通过提前识别失效进程，系统能够在这些进程引发解析错误之前进行处理，显著提高了系统的稳定性和可靠性。这一改进对于长时间运行的集群尤为重要，有效减少了因进程问题导致的安全监控中断。

镜像集成自动化

对于OpenShift环境，系统现在会自动为OCP全局pull secret（位于"openshift-config"命名空间中的"pull-secret"）创建独立的自动生成镜像集成。这一自动化特性简化了大规模集群的配置工作，同时可以通过设置ROX_AUTOGENERATE_GLOBAL_PULLSEC_REGISTRIES环境变量为false来禁用。

升级建议

对于计划升级到4.7.0版本的用户，建议特别注意以下几点：

1. 如果使用Azure集成与委托扫描组合，确保Central和安全集群都升级到ACS 4.7或更高版本，以避免兼容性问题。

2. 对于自定义Collector镜像配置，检查并更新相关的环境变量设置，使用新的RELATED_IMAGE_COLLECTOR替代已移除的变量。

3. 评估SBOM生成功能对业务的价值，根据实际需求决定是否启用这一技术预览特性。

4. 对于大规模集群，可以利用新的日志轮转配置优化系统资源使用，根据实际负载情况调整日志文件的数量和大小。

5. 充分利用Scanner V4的增强功能，特别是对RHCOS节点扫描的改进，全面提升集群的安全态势感知能力。

StackRox 4.7.0通过这一系列创新功能和改进，进一步巩固了其在Kubernetes安全领域的领先地位，为企业提供了更强大、更智能的云原生安全解决方案。