/audit-outdated

El Skill /audit-outdated busca desvíos de versión en cada capa del cluster: plano de control, nodes, imágenes de contenedor, charts de Helm, CRDs, operadores y la superficie de API a la que apuntan tus manifiestos. Cada capa tiene su propia noción de “más reciente” y sus propias tolerancias de desvío.

Ejecútela sin argumentos para un barrido completo, o nombre un workflow para delimitar el reporte.

/audit-outdated            # full sweep
/audit-outdated images     # single workflow
/audit-outdated cves in kube-system

La delimitación en lenguaje natural (namespaces, selectores de etiquetas, umbrales de severidad) está disponible en todos los workflows (consulte Descripción general).

---

Workflows

1. Desvío de versión de Kubernetes

Verificaciones

• Minor del plano de control vs. el último patch en ese minor
• Versión de kubelet en cada node vs. el minor del plano de control
• Distancia hasta EOL según la matriz de soporte oficial de Kubernetes

Fuentes: el calendario de releases de Kubernetes publicado.

2. Versiones de API obsoletas y eliminadas

Verificaciones

• Objetos activos que usan versiones de API obsoletas en el minor actual o eliminadas en el siguiente
• Webhooks de admisión y CRDs registrados contra versiones obsoletas de apiextensions.k8s.io

Fuentes: pluto y kubent cuando están disponibles, con el calendario de obsolescencia de la API de Kubernetes publicado como alternativa.

3. Frescura de imágenes de contenedor

Verificaciones

• Tags fijados por debajo del semver más alto disponible en el registro fuente
• Tags flotantes (:latest, sin versión), reportados por separado ya que “desactualizado” no está definido
• Desvío de digest — mismo tag, digest más reciente en el upstream
• Antigüedad de la imagen base cuando la imagen tiene un SBOM adjunto

Fuentes: Docker Hub, GHCR, quay.io y gcr.io. Actualmente no se admiten registros privados.

4. Charts y releases de Helm

Verificaciones

• Versiones de chart instaladas vs. la más reciente en el repositorio configurado
• Dependencias de subchart declaradas en Chart.yaml vs. versiones upstream
• Charts marcados deprecated: true en el upstream

Fuentes: los índices de los repositorios Helm configurados. Los charts alojados en OCI se leen directamente desde el registro OCI.

5. Operadores, CRDs y sus controladores

Verificaciones

• Versiones de operadores vs. releases upstream
• Señalar CRDs asignados a controladores desactualizados

Fuentes: reutiliza los datos del registro y del repositorio Helm de los workflows 3 y 4.

6. Vulnerabilidades conocidas

Verificaciones

• CVEs en imágenes de contenedor en ejecución
• CVEs en la propia versión de Kubernetes

Fuentes: Trivy y el feed oficial de CVEs de Kubernetes.

7. OS y kernel del Node

Verificaciones

• Imagen del OS del node vs. el release actual de la distribución (p. ej. Ubuntu, Amazon Linux)
• Versión del kernel contra CVEs publicados

Fuentes: feeds de releases de la distribución para las últimas versiones publicadas de OS y kernel, y el catálogo CISA KEV para escalar CVEs de kernel activamente explotados.

---

Frescura de los datos

Cada reporte incluye un pie de página de “antigüedad de los datos”: cuándo se actualizó por última vez cada índice (Trivy DB, repos de Helm, listas de tags de registros, calendario de releases de Kubernetes).

---

Qué se le indica al agente

Más allá de los workflows, el Skill orienta al agente sobre cómo reportar:

• Incluir siempre el pie de página de antigüedad de datos — los índices desactualizados producen hallazgos desactualizados, y el lector necesita saberlo.
• Deduplicar por digest de imagen para que una imagen desactualizada compartida entre muchos pods no domine el reporte.
• Incluir la severidad y el estado en el catálogo CISA KEV para las entradas de CVE cuando estén disponibles; situar los hallazgos KEV por encima de los de CVSS-high sin explotación conocida.
• Distinguir explícitamente “desvío dentro de la ventana de soporte” de “EOL” — el primero es rutinario, el segundo es urgente.
• Para registros no incluidos en la lista de compatibles (workflow 3), indicarlo en lugar de omitir la imagen silenciosamente.
• Derivar a /investigate cuando el foco sea la imagen desactualizada de un workload específico.