StackRox 4.8.0-rc.1 版本深度解析：安全扫描与云原生防护新特性

StackRox 是一个专注于 Kubernetes 安全防护的开源平台，提供从镜像扫描到运行时保护的完整解决方案。最新发布的 4.8.0-rc.1 候选版本带来了多项重要改进，特别是在安全扫描、安全策略和系统集成方面有显著增强。

核心安全扫描能力升级

本次版本最突出的改进是扫描组件的安装策略变更。在新安装场景下，StackRox Scanner 和 Scanner V4 将默认启用（opt-out 模式），而升级场景则保持原有的 opt-in 模式。这种改变反映了开发团队对扫描功能稳定性的信心，也体现了安全左移的理念。

Scanner V4 新增了对 Red Hat 官方镜像的特殊处理能力。通过设置 ROX_SCANNER_V4_RED_HAT_LAYERS_RED_HAT_VULNS_ONLY 环境变量，用户可以确保在扫描 Red Hat 官方容器镜像时，仅显示来自 Red Hat 安全数据源的安全问题信息。这一特性解决了长期以来非 RPM 内容（如 Go 二进制文件）导致的误报问题，使安全评估结果与 Red Hat 官方声明保持一致。

安全问题管理模型重构

4.8.0-rc.1 版本对 CVE 数据模型进行了重要的架构调整，从规范化模型转向反规范化设计。这一变化意味着：

1. 单次镜像扫描不再会覆盖之前扫描的 CVE 数据
2. 安全问题数据展示将更加一致可靠
3. 用户可通过 ROX_FLATTEN_CVE_DATA=false 回退到旧模型

同时，新版本引入了"安全问题发布时间天数"策略条件，允许安全团队设置安全问题修复的宽限期，体现了更加灵活的风险管理思路。

安全策略与控制增强

在准入控制方面，新版本增加了对 scale 子资源的支持，扩展了策略检测和执行的覆盖范围。安全策略 CRD 的 Helm 模板位置变更虽然需要用户手动干预，但简化了后续的维护工作。

认证安全方面，API 令牌的创建现在会触发管理事件日志，增强了安全审计能力。外部 IP 功能 (ROX_EXTERNAL_IPS) 也转为默认启用，为网络边界防护提供了更多可能性。

系统集成与部署改进

部署选项方面，4.8.0-rc.1 提供了更丰富的配置选择：

1. OpenShift reencrypt 路由支持，增强了 Central 的暴露方式安全性
2. Cosign 无密钥签名验证，顺应了云原生签名验证的最新趋势
3. S3 备份集成迁移至 AWS Go SDK v2，同时正式移除了对 GCS 存储桶的支持

Google 镜像集成的项目范围限制变为可选，为用户提供了更大的配置灵活性。

开发者体验优化

roxctl 命令行工具获得了多项改进：

1. 帮助信息格式重新设计，提升可读性
2. 证书验证失败现在会明确报错
3. 扫描输出默认包含 CVSS 分数和安全公告信息

这些改进使安全团队能够更全面地评估安全问题风险，并快速定位修复资源。

总结

StackRox 4.8.0-rc.1 版本在安全扫描深度、策略精细度和系统集成方面都有显著提升。特别是对 Red Hat 生态的专门优化和安全问题数据模型的改进，体现了项目对生产环境实际需求的深刻理解。候选版本虽然还需要最终测试验证，但已经展现出作为云原生安全平台的技术成熟度。