首页
/ StackRox 4.8.0-rc.1 版本深度解析:安全扫描与云原生防护新特性

StackRox 4.8.0-rc.1 版本深度解析:安全扫描与云原生防护新特性

2025-07-04 21:32:08作者:谭伦延

StackRox 是一个专注于 Kubernetes 安全防护的开源平台,提供从镜像扫描到运行时保护的完整解决方案。最新发布的 4.8.0-rc.1 候选版本带来了多项重要改进,特别是在安全扫描、安全策略和系统集成方面有显著增强。

核心安全扫描能力升级

本次版本最突出的改进是扫描组件的安装策略变更。在新安装场景下,StackRox Scanner 和 Scanner V4 将默认启用(opt-out 模式),而升级场景则保持原有的 opt-in 模式。这种改变反映了开发团队对扫描功能稳定性的信心,也体现了安全左移的理念。

Scanner V4 新增了对 Red Hat 官方镜像的特殊处理能力。通过设置 ROX_SCANNER_V4_RED_HAT_LAYERS_RED_HAT_VULNS_ONLY 环境变量,用户可以确保在扫描 Red Hat 官方容器镜像时,仅显示来自 Red Hat 安全数据源的安全问题信息。这一特性解决了长期以来非 RPM 内容(如 Go 二进制文件)导致的误报问题,使安全评估结果与 Red Hat 官方声明保持一致。

安全问题管理模型重构

4.8.0-rc.1 版本对 CVE 数据模型进行了重要的架构调整,从规范化模型转向反规范化设计。这一变化意味着:

  1. 单次镜像扫描不再会覆盖之前扫描的 CVE 数据
  2. 安全问题数据展示将更加一致可靠
  3. 用户可通过 ROX_FLATTEN_CVE_DATA=false 回退到旧模型

同时,新版本引入了"安全问题发布时间天数"策略条件,允许安全团队设置安全问题修复的宽限期,体现了更加灵活的风险管理思路。

安全策略与控制增强

在准入控制方面,新版本增加了对 scale 子资源的支持,扩展了策略检测和执行的覆盖范围。安全策略 CRD 的 Helm 模板位置变更虽然需要用户手动干预,但简化了后续的维护工作。

认证安全方面,API 令牌的创建现在会触发管理事件日志,增强了安全审计能力。外部 IP 功能 (ROX_EXTERNAL_IPS) 也转为默认启用,为网络边界防护提供了更多可能性。

系统集成与部署改进

部署选项方面,4.8.0-rc.1 提供了更丰富的配置选择:

  1. OpenShift reencrypt 路由支持,增强了 Central 的暴露方式安全性
  2. Cosign 无密钥签名验证,顺应了云原生签名验证的最新趋势
  3. S3 备份集成迁移至 AWS Go SDK v2,同时正式移除了对 GCS 存储桶的支持

Google 镜像集成的项目范围限制变为可选,为用户提供了更大的配置灵活性。

开发者体验优化

roxctl 命令行工具获得了多项改进:

  1. 帮助信息格式重新设计,提升可读性
  2. 证书验证失败现在会明确报错
  3. 扫描输出默认包含 CVSS 分数和安全公告信息

这些改进使安全团队能够更全面地评估安全问题风险,并快速定位修复资源。

总结

StackRox 4.8.0-rc.1 版本在安全扫描深度、策略精细度和系统集成方面都有显著提升。特别是对 Red Hat 生态的专门优化和安全问题数据模型的改进,体现了项目对生产环境实际需求的深刻理解。候选版本虽然还需要最终测试验证,但已经展现出作为云原生安全平台的技术成熟度。

登录后查看全文
热门项目推荐

最新内容推荐

项目优选

收起
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
143
1.91 K
kernelkernel
deepin linux kernel
C
22
6
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
192
273
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
927
551
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
421
392
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
145
189
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Jupyter Notebook
75
64
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
344
1.3 K
easy-eseasy-es
Elasticsearch 国内Top1 elasticsearch搜索引擎框架es ORM框架,索引全自动智能托管,如丝般顺滑,与Mybatis-plus一致的API,屏蔽语言差异,开发者只需要会MySQL语法即可完成对Es的相关操作,零额外学习成本.底层采用RestHighLevelClient,兼具低码,易用,易拓展等特性,支持es独有的高亮,权重,分词,Geo,嵌套,父子类型等功能...
Java
36
8