StackRox 4.8.0-rc.5 版本深度解析：安全扫描与策略增强

StackRox 是一个面向云原生环境的Kubernetes安全平台，提供从镜像扫描到运行时保护的完整安全解决方案。最新发布的4.8.0-rc.5版本带来了多项重要更新，特别是在安全扫描能力和策略管理方面有显著增强。

安全扫描功能全面升级

本次版本最引人注目的变化是Scanner V4扫描器的默认安装策略调整。在新安装场景下，无论是Central服务还是SecuredCluster服务，Scanner V4都将默认启用（opt-out模式），而升级场景则保持原有的opt-in模式。这种改变反映了Scanner V4已经达到生产就绪状态，建议用户优先采用。

针对Red Hat官方容器镜像，Scanner V4新增了仅显示Red Hat安全数据源问题的功能。通过设置环境变量ROX_SCANNER_V4_RED_HAT_LAYERS_RED_HAT_VULNS_ONLY，可以避免非Red Hat安全数据源对官方镜像的误报问题，特别适合基于OpenShift等Red Hat产品的用户。

问题数据模型重构

4.8.0-rc.5版本对基于镜像的CVE数据模型进行了去规范化处理。这一架构级改进解决了之前版本中一个镜像扫描会覆盖前次扫描CVE数据的问题，使得安全报告更加准确可靠。用户可以通过ROX_FLATTEN_CVE_DATA标志回退到旧的数据模型，但建议尽快适应新的数据架构。

策略管理增强

在策略管理方面，新增了"CVE发布天数"策略条件，允许安全团队为问题修复设置宽限期。这一功能特别适合需要平衡安全性和业务连续性的场景，团队可以根据问题的发布时间而非单纯的严重程度来制定修复优先级。

另一个重要改进是对admission controller中scale子资源的支持，现在可以检测和拦截针对工作负载扩缩操作的请求，进一步强化了Kubernetes集群的安全防护边界。

部署架构优化

在部署架构方面，Helm用户需要特别注意SecurityPolicy CRD的迁移处理。这一变更虽然需要用户手动执行一些命令来准备升级，但从长期来看简化了CRD的维护工作，使其能够自动升级。

对于OpenShift用户，新版本增加了对reencrypt路由类型的支持，为Central服务提供了更灵活的暴露方式。同时，AWS S3备份集成已迁移到AWS Go SDK v2，不再支持GCS存储桶，使用GCS的用户应切换到专门的GCS集成方案。

安全审计与合规

在安全审计方面，新增了API令牌创建的日志记录功能，每次令牌生成都会触发管理事件，增强了安全操作的追溯能力。这一改进特别适合需要严格审计跟踪的企业环境。

总结

StackRox 4.8.0-rc.5版本通过扫描器默认策略调整、数据模型重构和策略条件增强，显著提升了云原生环境的安全防护能力。特别是对Red Hat生态的深度优化，使得在OpenShift环境中运行StackRox的用户能够获得更精准的安全评估。建议用户根据自身环境特点，合理规划升级路径，充分利用新版本提供的安全功能。