kube bench

Kube-Bench是一種工具，可以檢查Kubernetes是否通過運行CIS Kubernetes基準中記錄的支票安全地部署。

測試配置使用YAML文件，使此工具易於隨著測試規格的發展而更新。

Trivy是一個雲的本機安全掃描儀，可以將其作為kubernetes操作員部署在集群中。 Trivy CLI和Trivy操作員都支持CIS Kubernetes基準掃描，以及其他幾個功能。

有多種運行kube基礎的方法。您可以在吊艙內運行kube-bench，但是它將需要訪問主機的PID名稱空間，以檢查運行過程，並訪問存儲配置文件和其他文件的主機上的某些目錄。

提供的job.yaml文件可以應用於作業。例如：

$ kubectl apply -f job.yaml
job.batch/kube-bench created

$ kubectl get pods
NAME                      READY   STATUS              RESTARTS   AGE
kube-bench-j76s9   0/1     ContainerCreating   0          3s

# Wait for a few seconds for the job to complete
$ kubectl get pods
NAME                      READY   STATUS      RESTARTS   AGE
kube-bench-j76s9   0/1     Completed   0          11s

# The results are held in the pod's logs
kubectl logs kube-bench-j76s9
[INFO] 1 Master Node Security Configuration
[INFO] 1.1 API Server
...

有關更多信息和運行kube ben的不同方法，請參閱文檔

1. Kube Bench盡可能接近地實現CIS Kubernetes基準測試。如果Kube Bench無法正確實施基準中所述的測試，請在此處提出問題。要報告基準本身中的問題（例如，您認為不合適的測試），請加入CIS社區。

2. Kubernetes版本和順式基準版本之間沒有一對一的映射。請參閱順式Kubernetes基準支持，以查看哪些kubernetes釋放被基準的不同版本涵蓋。

默認情況下，Kube-Bench將根據計算機上運行的Kubernetes版本確定要運行的測試集。

• 有關更多詳細信息，請參見以下有關運行Kube Bench的文檔。

在貢獻之前請閱讀貢獻。我們歡迎PR和發行報告。

展望未來，我們計劃將更新到Kube Bench，以增加對CIS基準的新版本的支持。請注意，這些不會像kubernetes發布那樣頻繁。