来自ARMO的项目创建者表示，Kubescape近日被CNCF正式接受为沙盒项目，这标志着为Kubernetes项目提供全面开源安全平台的旅程的开始。

根据Kubescape的文档，这一开源Kubernetes安全平台涵盖了应用程序的整个生命周期及其对Kubernetese应用程序的更新。这包括用于风险分析、安全性、合规性和错误配置扫描的IDE、CI/CD管道和集群。

关键词是“平台”和“Kubernetes”。平台部分意味着Kubescape不仅仅是另一种安全工具，它在众多替代品中为Kubernete提供了非常特殊的功能。Kubernetes部分非常重要，因为这意味着该平台仅适用于Kubernetes。

Kubescape用于与DevOps团队希望添加的用于平台的必要工具的长清单集成，例如软件物料清单（SBOM）、签名扫描和策略控制。它在生产周期的最开始的左端开始运行扫描，并扩展到CI/CD以及整个部署和集群管理过程。

用于查找和修复错误配置和漏洞：NSA-ISA、MITRE ATT&CK和CIS Benchmark等框架，Kubsescape扫描YAML文件，以及部署后的Helm图表和集群。Kubsescape还可以与Jenkins、CircleCI、GitHub Actions、GitLab、IDE（即Visual Studio代码）Prometheus、Lens和Docker集成。

ARMO首席执行官兼联合创始人Shauli Rozen表示：“我们希望成为CNCF的开源Kubernetes安全平台；这是我的愿景。我们希望将Kubernetes安全整合为一个单一平台。我真的认为这是这个领域一直缺少的东西。”

CNCF的专门针对Kubernetes的开源安全平台的概念很有吸引力。但企业管理协会（EMA）的分析师Torsten Volk表示，这个开源项目如何被采用，还有待观察。

ARMO现在还提供了ARMO平台，作为Kubescape之上的附加安全层。它为Kubernetes的SaaS或内部部署提供了公司所称的“现成”安全平台。它可以部署在托管的Kubernetes平台上，包括亚马逊的Elastic Kubernettes Service（EKS）、微软的Azure Kubernete Service（AKS）、谷歌Kubernets Engine（GKE）、红帽OpenShift等。

齿轮和轮子

Kubeescape在很大程度上依赖于OpenPolicyAgent来根据姿势控件库验证Kubernetes对象。在Kubaescape的文档中，可以打印监控结果，也可以是：

——导出为JSON或junit XML。

——呈现为HTML或PDF。

——提交给云服务。

同时，Rozen表示，该公司计划在未来几个季度为Kubescape开源一些专有功能和开源KubeEscape的后端代码。他说，该公司计划开源的功能包括扩大持续监控运行时元素的过程，并在发生内存攻击时“确保它们不会被更改”。

Volk表示，同时，为了赢得开发人员、安全和运维团队成员的支持，Kubescape必须能够证明它能够无缝地适应他们当前的工作方式，并使所有与Kubernetes相关的角色都能从Kubernetes社区的安全护栏和最佳实践中受益。“这最终会让公司在与坏人的永恒竞争中获得优势。”

Kubescape用户客户通常属于两类客户。一类是向云原生转型的大型组织，但仍在继续对Kubernetes领域以外的其他类型基础设施进行投资。Rozen说，另一类由最近创建的组织组成，这些组织维护“非常专用的Kubernetes环境”。

“全Kubernetes组织（主要是中小型公司），是我们目前的最佳选择。”Rozen说道。