/audit-outdated
/audit-outdated スキルは、クラスターのすべてのレイヤー(コントロールプレーン、Node、コンテナイメージ、Helmチャート、CRD、オペレーター、マニフェストがターゲットとするAPIサーフェス)にわたるバージョンドリフトを検索します。各レイヤーには独自の「最新」という概念と独自のドリフト許容値があります。
引数なしで実行するとフルスイープ、ワークフロー名を指定するとレポートのスコープを絞り込めます。
/audit-outdated # full sweep/audit-outdated images # single workflow/audit-outdated cves in kube-system自然言語スコープ(Namespace、ラベルセレクター、重大度しきい値)はすべてのワークフローでサポートされています(概要を参照)。
ワークフロー
Section titled “ワークフロー”1. Kubernetesバージョンスキュー
Section titled “1. Kubernetesバージョンスキュー”ソース:公開されているKubernetesリリーススケジュール。
2. 非推奨および削除されたAPIバージョン
Section titled “2. 非推奨および削除されたAPIバージョン”ソース:利用可能な場合は pluto および kubent、フォールバックとして公開されているKubernetes API非推奨スケジュール。
3. コンテナイメージの鮮度
Section titled “3. コンテナイメージの鮮度”ソース:Docker Hub、GHCR、quay.io、gcr.io。現在、プライベートレジストリはサポートされていません。
4. HelmチャートとRelease
Section titled “4. HelmチャートとRelease”ソース:設定されたHelmリポジトリインデックス。OCIホストのチャートはOCIレジストリから直接読み取られます。
5. オペレーター、CRD、それらのコントローラー
Section titled “5. オペレーター、CRD、それらのコントローラー”ソース:ワークフロー3と4のレジストリおよびHelmリポジトリデータを再利用。
6. 既知の脆弱性
Section titled “6. 既知の脆弱性”ソース:Trivy および公式Kubernetes CVEフィード。
7. Node OSとカーネル
Section titled “7. Node OSとカーネル”ソース:最新の公開OS・カーネルバージョンのディストリビューションリリースフィード、および積極的に悪用されているカーネルCVEのエスカレーションのためのCISA KEVカタログ。
すべてのレポートには「データ更新日時のフッター」が含まれています:各インデックス(Trivy DB、Helmリポジトリ、レジストリタグリスト、Kubernetesリリーススケジュール)が最後に更新された日時を示します。
エージェントへの指示
Section titled “エージェントへの指示”ワークフローに加えて、スキルはエージェントにレポートの方法を指示します。
- 常にデータ更新日時のフッターを含めてください — 古いインデックスは古い検出結果を生み出すため、読者はそれを知る必要があります。
- イメージダイジェストで重複排除するため、多数のPodで共有されている1つの古いイメージがレポートを独占しないようにします。
- 利用可能な場合はCVEエントリの重大度とCISA KEVステータスを含め、既知の悪用なしのCVSS高評価検出結果よりもKEVヒットを上位にランク付けします。
- 「サポート対象ウィンドウ内のドリフト」と「EOL」を明示的に区別します — 前者は日常的なもので、後者は緊急です。
- サポートされているリスト(ワークフロー3)にないレジストリの場合は、黙ってイメージをスキップするのではなくその旨を明記します。
- 単一のワークロードの古いイメージに焦点が当たっている場合は
/investigateに渡します。