红帽全球峰会1.3. 主要的技术变化
- 对于 RHACS Operator,红帽添加了标签选择器来缓存 secret 和配置映射的配置,从而显著降低内存消耗,特别是在大型集群中。在测试过程中,在新的 OpenShift Container Platform 集群中,内存用量减少了 28%。
-
RHACS Operator 现在向 Operator 创建的所有 Helm Chart 资源和 secret 添加
app.stackrox.io/managed-by: operator标签,从而提供更好的机构和可见性。 RHACS Operator 增加发送到 API 服务器的请求数,以检索以下类型的 secret:
- Operator 不管理的 secret
- 与缓存标签选择器不匹配的 secret
- 扫描程序 DB 现在在 PostgreSQL 15 上运行,替换早期版本 PostgreSQL 12。因为数据库不会被保留,所以不需要迁移,所以您可以继续使用扫描程序,而无需任何额外的步骤。
-
Nexus 和红帽 registry 集成现在尝试使用对
/v2/<name>/manifests/<reference>的 HEAD 请求来拉取清单摘要。这个更改解决了之前在使用 Scanner V4时导致摘要算法错误的问题。您可以通过将环境变量ROX_ATTEMPT_MANIFEST_DIGEST设置为false来关闭这个新行为。 RHACS 包括新的策略类别,一些默认策略会使用这些新策略类别进行标记。
Expand 表 1.2. 新策略类别 策略类别 policy zero Trust
部署应至少有一个入口网络策略
未授权的网络流
供应链安全性
无扫描的镜像
30 天扫描期限
90 天镜像期限
所需的注解: Email
所需的注解:Owner/Team
必需标签:Owner/Team
latest 标签
-
当
roxctlCLI 为 OpenShift Container Platform 生成清单时,现在默认为 OpenShift Container Platform 4.x 而不是 OpenShift Container Platform 3.x。 -
现在,您可以根据委派的扫描配置,通过镜像监视重新处理来委派镜像扫描。要关闭这个功能,请将 Central 环境变量
ROX_DELEGATE_WATCHED_IMAGE_REPROCESSING设置为false。 - Scanner V4 Matcher 现在使用 iterators 完成并发漏洞更新,将内存消耗从 4GB 减少为 500MB。
-
RHACS 4.5 会减慢初始 registry 集成存储库列表
/v2/_catalog来提高中央启动性能。这个变化减少了在带有许多自动生成的集成的环境中启动时间。 -
RHACS 4.5 包括一个新的配置选项
ROX_SCANNER_V4_ALLOW_ANONYMOUS_AUTH,以启用对 Scanner V4 进行调试的匿名访问。对于版本构建,此功能默认是开发构建和关闭。 -
使用
roxctlCLI 创建的部署捆绑包不再包含 PodSecurityPolicies (PSPs)。在生成部署捆绑包以部署到 Kubernetes 1.25 或更早版本时,您必须指定--enable-pod-security-policies选项。 -
当
ROX_UNQUALIFIED_SEARCH_REGISTRIES设置为true时,RHACS 4.5 包括对 Sensor 镜像扫描的事件处理。此增强可确保每个唯一镜像只允许一个同时扫描请求,从而减少冗余扫描。另外,当观察同一镜像的多个名称时,它会增加扫描缓存点击的机会。当ROX_UNQUALIFIED_SEARCH_REGISTRIES为true时,此功能会被默认开启。要将其关闭,请在 Sensor 上将ROX_SENSOR_SINGLE_SCAN设置为false。 -
红帽已将 RHACS 准入控制器 webhook 的默认超时设置从 20 秒减少到 10 秒,从而导致 ValidatingWebhookConfiguration 中的 12 秒有效超时。此更改与 OpenShift Container Platform 中 13 秒的无条件上限一致。如果您依赖较长的超时时间,如带有内联镜像扫描的超时时间,您必须在
SecuredCluster自定义资源admissionControl.timeoutSeconds中明确指定一个较长的超时,在 HelmadmissionControl.dynamic.timeout中,或者在admission-controller.yaml文件中的 sensor 部署捆绑包ValidatingWebhookConfiguration清单中明确指定较长的超时。 -
使用 RHACS 4.5 时,默认禁用 snooze 节点和平台 CVE。您必须将
ROX_VULN_MGMT_LEGACY_SNOOZE设置为true,以返回到之前的行为。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}