/audit-security

Le Skill /audit-security recherche les identités et workloads sur-privilégiés : ServiceAccounts disposant de plus d’accès qu’ils n’en utilisent, pods s’exécutant en root ou avec des échappements au niveau de l’hôte, et liaisons accordant des permissions à l’échelle du cluster là où un rôle limité à un namespace suffirait.

Exécutez-la sans arguments pour un balayage complet, ou nommez un workflow pour affiner le rapport.

/audit-security                    # full sweep
/audit-security rbac               # single workflow
/audit-security pods in kube-system

Le ciblage en langage naturel (namespaces, sélecteurs de labels, noms de workloads) est pris en charge sur chaque workflow (voir Overview).

Workflows

1. RBAC

Sources : API Kubernetes.

2. Sécurité des pods

Sources : API Kubernetes, évaluée par rapport aux Pod Security Standards en amont.

3. Secrets & tokens ServiceAccount

Sources : API Kubernetes.

Ce qui est communiqué à l’agent

Au-delà des workflows, le Skill instruit l’agent sur la manière de présenter les résultats :

Classer les findings par portée de l’impact — wildcards de portée cluster avant ceux de portée namespace, échappements hôte avant profils seccomp manquants.
Être explicite sur le fait que les vérifications RBAC sont statiques : elles identifient ce que les Roles accordent, pas ce que les sujets utilisent réellement. Détecter les permissions réellement inutilisées nécessite une analyse des logs d’audit, ce que ce Skill ne fait pas.
Référencer les objets Secret par nom, namespace et type uniquement — ne jamais lire ni exposer leur contenu.
Expliquer en une ligne pourquoi un finding est problématique (ce que le privilège permet) plutôt que de nommer seulement le verbe ou le flag incriminé.
Déléguer à /investigate pour un workload spécifique et à /audit-network pour mTLS et la posture du mesh, qui est adjacente à la sécurité des pods.