Se connecter
Kubescape monte en grade à la CNCF
Kubescape, outil de gestion de la posture de sécurité des clusters Kubernetes, passe au deuxième stade de maturité à la Cloud Native Computing Foundation.
Un deuxième jalon de franchi pour Kubescape à la CNCF.
Le projet avait été accepté fin 2022 au niveau sandbox. Il vient de passer au stade de maturité suivant, dit incubation.
À ses débuts à l'été 2021, Kubescape était un outil en ligne de commande destiné à vérifier les configurations de clusters. Plus précisément, à valider leur conformité vis-à-vis des règles de durcissement édictées par le tandem NSA-CISA. Son champ d'action s'est élargi depuis : on peut l'utiliser dans des IDE, dans des pipelines CI/CD et au sein de clusters par l'intermédiaire d'un opérateur.
Kubescape connecté à eBPF...
En parallèle, son périmètre fonctionnel a nettement évolué, pour aller vers la gestion de posture de sécurité. Tandis que la validation des configurations s'est étendue, entre autres, au kubelet et au serveur d'API, le scan des images de conteneurs a fait son entrée. D'abord dans les clusters, puis depuis le CLI. Kubescape a aussi ajouté l'analyse des charts Helm et des workloads. Il a également fait la passerelle avec eBPF. Cela lui permet de détecter quels packages sont chargés en mémoire à l'exécution. Et donc de prioriser les vulnérabilités. En particulier dans les documents VEX (Vulnerability eXchange) qu'il sait produire depuis fin 2023. Objectif : compléter les SBOM en minimisant les faux positifs (code vulnérable mais non exécuté, par exemple).
Lire aussi : Pourquoi OpenStack rejoint la Fondation Linux
... et déconnecté d'ARMO
Ce n'est qu'avec la dernière version majeure - 3.0, dont la preview initiale fut publiée en septembre 2023 - que Kubescape s'est pleinement détaché de la plate-forme technique de son créateur ARMO (même s'il reste évidemment compatible). Depuis lors, il stocke les résultats des analyses dans le cluster et peut les transmettre à des outils externes. Parmi eux, Prometheus, système d'alerte compris. Quant aux règles NSA-CISA, elles ont été complétées par d'autres références (matrice MITRE ATT&CK, benchmark Kubernetes du CIS...) et par la possibilité d'utiliser des frameworks personnalisés.
L'intégration des journaux d'audit Kubernetes est sur la feuille de route. Comme le scan des Dockerfiles, la découverte de secrets et le parsing HTTP sur eBPF pour déterminer quels workloads utilisent quelles API.
Sur le même thème
Voir tous les articles Open source![Firefox soumis à des conditions d'utilisation : pourquoi [...]](https://cdn.edi-static.fr/image/upload/c_lfill,h_201,w_298/e_unsharp_mask:100,q_auto/f_auto/v1/Img/BREVE/2025/2/468264/firefox-soumis-conditions-utilisation-mozilla-inquiete-L.jpg)
Par Clément Bohic
6 min.Par Antoine Brenner*
Par Clément Bohic
Par Matthieu Broersma - Silicon UK
Par Clément Bohic
