StackRox 4.8.0-rc.3版本深度解析：安全扫描与问题管理新突破

StackRox作为一款领先的Kubernetes原生安全平台，专注于为容器化应用提供端到端的安全防护。本次发布的4.8.0-rc.3版本带来了多项重要更新，特别是在问题扫描、安全策略和系统集成方面有显著增强。

核心安全扫描功能升级

本次版本在安全扫描方面进行了重大改进，Scanner V4扫描器现在成为新安装的默认组件（采用opt-out机制），而现有系统升级时仍保持opt-in机制。这种设计平衡了安全性与升级平滑性的需求。

特别值得注意的是新增的Red Hat专用问题过滤功能，当设置ROX_SCANNER_V4_RED_HAT_LAYERS_RED_HAT_VULNS_ONLY环境变量时，Scanner V4将仅显示来自Red Hat安全数据源的问题信息，解决了官方Red Hat镜像中非RPM内容（如OpenShift镜像中的Go二进制文件）可能导致的误报问题。

问题管理模型革新

4.8.0-rc.3版本对基于镜像的CVE数据模型进行了去规范化处理，这一架构级改进确保了每次镜像扫描不会覆盖之前扫描的CVE数据，从而提供更一致的问题评估结果。用户仍可通过设置ROX_FLATTEN_CVE_DATA=false回退到旧版数据模型。

新增的"CVE发布天数"策略条件是一个实用功能，允许安全团队为问题修复设置宽限期，体现了安全性与业务连续性的平衡思维。

安全策略与控制增强

在安全策略方面，4.8.0-rc.3版本支持admission controller对scale子资源的检测和强制执行，扩展了安全控制的覆盖范围。同时，API令牌创建现在会触发管理事件记录，增强了安全审计能力。

对于OpenShift用户，新版本增加了对reencrypt路由类型的支持，为Central服务提供了更灵活的暴露方式。证书验证失败现在会被roxctl明确标记为错误，提高了安全性。

系统集成与兼容性改进

在系统集成方面，S3备份功能已迁移至AWS Go SDK v2，同时不再支持GCS存储桶（自4.5.0版本起已预告此变更）。Google镜像集成现在支持可选的项目范围限定，提供了更灵活的配置选项。

roxctl image scan命令的输出格式也得到了增强，默认包含CVSS分数、安全公告及相关链接等关键安全信息，使问题评估更加全面。

部署与升级注意事项

对于Helm用户，特别注意SecurityPolicy CRD已移至模板目录，升级前需要手动添加特定注解和标签以避免升级失败。这一变更虽然带来短期操作成本，但长期来看简化了CRD维护工作。

总体而言，StackRox 4.8.0-rc.3版本在安全扫描精度、问题管理模型和系统集成方面都有显著提升，同时保持了良好的向后兼容性，是企业容器安全防护的一次重要升级。