Kubescape：Kubernetes 集群安全扫描，一个工具搞定

Kubescape：Kubernetes 集群安全扫描，一个工具搞定

Kubescape 在 GitHub 上有 11,488 Star，是 CNCF 的孵化项目，由 ARMO 公司开源。

它做的事情很明确：给 Kubernetes 集群做安全检查。从配置扫描、镜像漏洞检测到运行时监控，覆盖了整个部署生命周期。

1、它能干什么

Kubescape 提供两套模式。一套是命令行工具，装上就能跑，扫集群、扫 YAML 文件、扫 Helm Chart、扫容器镜像。另一套是以 Operator 的形式部署到集群内部，做持续监控。

命令行扫描很直接：

# 扫当前集群kubescape scan# 扫指定目录的 YAML 文件kubescape scan /path/to/manifests/# 扫容器镜像漏洞kubescape scan image nginx:latest

扫描结果会给出合规评分，参照的是 NSA-CISA、MITRE ATT&CK、CIS Benchmarks 这几套标准。

2、核心能力

配置扫描是基础功能。它能检查控制面安全、访问控制风险、工作负载配置错误、网络策略缺失这些问题。

镜像漏洞扫描接的是 Grype 引擎，能检测容器镜像里的 CVE。扫描完还能用 Copacetic 自动修补镜像里的系统级漏洞。

自动修复也做了。扫描出配置问题后，kubescape fix命令可以直接改 YAML 文件，支持 dry-run 预览。

运行时安全这块，它集成了 Inspektor Gadget，用 eBPF 做运行时威胁检测。

还有一个比较新的功能：MCP Server。启动后可以把扫描数据暴露给 AI 助手，用自然语言查询集群安全状态。

3、安装方式

Linux 和 macOS 一行命令：

curl-shttps://raw.githubusercontent.com/kubescape/kubescape/master/install.sh|/bin/bash

包管理器也支持：Homebrew、Krew、Scoop、Chocolatey、AUR、NixOS 都能装。

Windows 用 PowerShell：

iwr-useb https://raw.githubusercontent.com/kubescape/kubescape/master/install.ps1|iex

4、CI/CD 集成

Kubescape 和主流 CI/CD 平台都能对接。GitHub Actions 有官方 Action，GitLab CI 和 Jenkins 有文档说明。

输出格式支持 JSON、JUnit XML、SARIF、HTML、PDF。SARIF 格式可以直接接到 GitHub Code Scanning。

IDE 方面有 VS Code 扩展和 Lens 扩展，写代码的时候就能看到安全检查结果。

5、离线环境支持

在没有外网的环境里，可以先下载框架定义文件和漏洞数据库，然后用--use-artifacts-from参数指向本地目录，离线扫描。

镜像漏洞扫描也可以走离线 Grype 数据库，用 Docker 起一个本地数据库服务就行。

6、准入策略

Kubescape 支持 Kubernetes 的 Validating Admission Policies。可以用命令部署策略库，创建策略绑定，实现集群级别的安全策略执行。

kubescape vap deploy-library|kubectl apply-f-

7、适合什么场景

• 需要对 Kubernetes 集群做合规检查的运维团队
• 在 CI/CD 流程里加安全扫描的开发团队
• 想在部署前发现 YAML 配置问题的开发者
• 需要容器镜像漏洞扫描但不想单独搭一套系统的团队
• 有离线环境安全扫描需求的企业

CD 流程里加安全扫描的开发团队

• 想在部署前发现 YAML 配置问题的开发者
• 需要容器镜像漏洞扫描但不想单独搭一套系统的团队
• 有离线环境安全扫描需求的企业