文章目录KubescapeKubernetes 集群安全扫描一个工具搞定1、它能干什么2、核心能力3、安装方式4、CI/CD 集成5、离线环境支持6、准入策略7、适合什么场景KubescapeKubernetes 集群安全扫描一个工具搞定Kubescape 在 GitHub 上有 11,488 Star是 CNCF 的孵化项目由 ARMO 公司开源。它做的事情很明确给 Kubernetes 集群做安全检查。从配置扫描、镜像漏洞检测到运行时监控覆盖了整个部署生命周期。1、它能干什么Kubescape 提供两套模式。一套是命令行工具装上就能跑扫集群、扫 YAML 文件、扫 Helm Chart、扫容器镜像。另一套是以 Operator 的形式部署到集群内部做持续监控。命令行扫描很直接# 扫当前集群kubescape scan# 扫指定目录的 YAML 文件kubescape scan /path/to/manifests/# 扫容器镜像漏洞kubescape scan image nginx:latest扫描结果会给出合规评分参照的是 NSA-CISA、MITRE ATTCK、CIS Benchmarks 这几套标准。2、核心能力配置扫描是基础功能。它能检查控制面安全、访问控制风险、工作负载配置错误、网络策略缺失这些问题。镜像漏洞扫描接的是 Grype 引擎能检测容器镜像里的 CVE。扫描完还能用 Copacetic 自动修补镜像里的系统级漏洞。自动修复也做了。扫描出配置问题后kubescape fix命令可以直接改 YAML 文件支持 dry-run 预览。运行时安全这块它集成了 Inspektor Gadget用 eBPF 做运行时威胁检测。还有一个比较新的功能MCP Server。启动后可以把扫描数据暴露给 AI 助手用自然语言查询集群安全状态。3、安装方式Linux 和 macOS 一行命令curl-shttps://raw.githubusercontent.com/kubescape/kubescape/master/install.sh|/bin/bash包管理器也支持Homebrew、Krew、Scoop、Chocolatey、AUR、NixOS 都能装。Windows 用 PowerShelliwr-useb https://raw.githubusercontent.com/kubescape/kubescape/master/install.ps1|iex4、CI/CD 集成Kubescape 和主流 CI/CD 平台都能对接。GitHub Actions 有官方 ActionGitLab CI 和 Jenkins 有文档说明。输出格式支持 JSON、JUnit XML、SARIF、HTML、PDF。SARIF 格式可以直接接到 GitHub Code Scanning。IDE 方面有 VS Code 扩展和 Lens 扩展写代码的时候就能看到安全检查结果。5、离线环境支持在没有外网的环境里可以先下载框架定义文件和漏洞数据库然后用--use-artifacts-from参数指向本地目录离线扫描。镜像漏洞扫描也可以走离线 Grype 数据库用 Docker 起一个本地数据库服务就行。6、准入策略Kubescape 支持 Kubernetes 的 Validating Admission Policies。可以用命令部署策略库创建策略绑定实现集群级别的安全策略执行。kubescape vap deploy-library|kubectl apply-f-7、适合什么场景需要对 Kubernetes 集群做合规检查的运维团队在 CI/CD 流程里加安全扫描的开发团队想在部署前发现 YAML 配置问题的开发者需要容器镜像漏洞扫描但不想单独搭一套系统的团队有离线环境安全扫描需求的企业CD 流程里加安全扫描的开发团队想在部署前发现 YAML 配置问题的开发者需要容器镜像漏洞扫描但不想单独搭一套系统的团队有离线环境安全扫描需求的企业