云原生安全开源项目汇总
项目名称 | 成熟度 |
关注点 |
详情链接 |
OPA:Open Policy Agent |
毕业 |
通用策略引擎 |
https://www.openpolicyagent.org |
TUF: The Update Framework |
毕业 | 安全更新框架 |
https://theupdateframework.io |
Falco |
孵化 |
系统调用行为监控 |
https://falco.org |
Notary |
孵化 | 数据权限控制 |
https://github.com/notaryproject/notary |
CERT MANAGER |
沙盒 |
证书管理 |
https://www.jetstack.io/open-source/ |
Curiefense |
沙盒 |
Web与API防护 |
https://www.curiefense.io |
Dex |
沙盒 |
身份认证 |
https://github.com/dexidp/dex |
In-toto |
沙盒 |
软件供应链完整性 |
https://in-toto.io |
Keylime |
沙盒 |
远程启动认证 |
https://keylime.dev |
Kyverno |
沙盒 |
Kubernetes原生策略管理 |
https://kyverno.io |
Parsec |
沙盒 |
可信计算 |
https://github.com/parallaxsecond/parsec |
|
关注点 |
详情链接 |
Anchore |
容器镜像扫描 |
https://github.com/anchore/anchore-engine |
CHEF INSEPC |
基础设施合规 |
https://github.com/inspec/inspec |
Clair |
容器镜像扫描 |
https://github.com/quay/clair |
FOSSA |
代码依赖与授权分析 |
https://github.com/fossas/fossa-cli |
Goldilocks |
资源控制 |
https://github.com/FairwindsOps/goldilocks |
Grafeas |
软件供应链 |
https://github.com/grafeas/grafeas |
Kube-bench |
集群合规检查 |
https://github.com/aquasecurity/kube-bench |
Kube-hunter |
集群安全检查 |
https://github.com/aquasecurity/kube-hunter |
OpenSCAP |
集群合规与安全评估 |
https://github.com/OpenSCAP/openscap |
Pluto |
APIVersion审计 |
https://github.com/FairwindsOps/pluto |
Polaris |
集群配置检查 |
https://github.com/FairwindsOps/polaris |
RBACLookup |
身份认证 |
https://github.com/FairwindsOps/rbac-lookup |
RBACmanager |
身份认证 |
https://github.com/FairwindsOps/rbac-manager |
Sonobuoy |
集群一致性检查 |
https://github.com/vmware-tanzu/sonobuoy |
Terrascan |
编排文件检查 |
https://github.com/accurics/terrascan |
Trivy |
各类漏洞扫描 |
https://github.com/aquasecurity/trivy |
从内核运行时采集Linux系统调用
提供了一套强大的规则引擎,用于对Linux系统调用行为进行监控
当系统调用违反规则时,会触发相应的告警
使用setns等工具改变进程的namespace信息
对于系统目录/etc,/usr/bin,/usr/sbin的读写行为
文件Ownership、Mode的变更
将Kube-hunter部署在集群内特定主机运作,直接在本地环境检测、扫描。
使用Pod作为部署单位,执行Kube-hunter。
检测面很全,能检测全面的漏洞
扫描速度快,通常在10秒内完成(取决于网络和镜像大小)
Trivy是无状态的,不需要维护或准备
易于安装,使用简单,仅仅只需要指定镜像名称