콘텐츠로 이동

/audit-outdated

/audit-outdated 스킬은 클러스터의 모든 계층에서 버전 드리프트를 찾습니다: 컨트롤 플레인, 노드, 컨테이너 이미지, Helm 차트, CRD, 오퍼레이터, 그리고 매니페스트가 대상으로 하는 API 표면. 각 계층에는 “최신”의 고유한 정의와 고유한 드리프트 허용 범위가 있습니다.

인수 없이 실행하면 전체 스윕을 수행하거나, 워크플로 이름을 지정하여 보고서 범위를 좁힐 수 있습니다.

/audit-outdated            # full sweep
/audit-outdated images     # single workflow
/audit-outdated cves in kube-system

모든 워크플로에서 자연어 범위 지정(네임스페이스, 레이블 셀렉터, 심각도 임계값)이 지원됩니다(개요 참조).

워크플로

섹션 제목: “워크플로”

1. Kubernetes 버전 스큐

섹션 제목: “1. Kubernetes 버전 스큐”

출처: 공개된 Kubernetes 릴리스 일정.

2. 더 이상 사용되지 않거나 제거된 API 버전

섹션 제목: “2. 더 이상 사용되지 않거나 제거된 API 버전”

출처: 사용 가능한 경우 plutokubent, 그리고 공개된 Kubernetes API 지원 중단 일정을 폴백으로 사용.

3. 컨테이너 이미지 최신성

섹션 제목: “3. 컨테이너 이미지 최신성”

출처: Docker Hub, GHCR, quay.io, gcr.io. 현재 프라이빗 레지스트리는 지원되지 않습니다.

4. Helm 차트 및 릴리스

섹션 제목: “4. Helm 차트 및 릴리스”

출처: 구성된 Helm 레포 인덱스. OCI 호스팅 차트는 OCI 레지스트리에서 직접 읽습니다.

5. 오퍼레이터, CRD 및 컨트롤러

섹션 제목: “5. 오퍼레이터, CRD 및 컨트롤러”

출처: 워크플로 3과 4의 레지스트리 및 Helm 레포 데이터를 재사용.

6. 알려진 취약점

섹션 제목: “6. 알려진 취약점”

출처: Trivy공식 Kubernetes CVE 피드.

7. 노드 OS 및 커널

섹션 제목: “7. 노드 OS 및 커널”

출처: 최신 OS 및 커널 버전을 위한 배포판 릴리스 피드, 그리고 적극적으로 악용되는 커널 CVE 에스컬레이션을 위한 CISA KEV 카탈로그.

데이터 최신성

섹션 제목: “데이터 최신성”

모든 보고서에는 각 인덱스(Trivy DB, Helm 레포, 레지스트리 태그 목록, Kubernetes 릴리스 일정)가 마지막으로 갱신된 시점을 나타내는 “데이터 수명” 푸터가 포함됩니다.

에이전트에게 전달되는 내용

섹션 제목: “에이전트에게 전달되는 내용”

워크플로 외에도 스킬은 에이전트에게 보고 방법을 안내합니다:

  • 항상 데이터 수명 푸터를 포함하십시오 — 오래된 인덱스는 오래된 결과를 생성하며 독자는 이를 알아야 합니다.
  • 하나의 오래된 이미지가 많은 파드에서 공유된다고 해서 보고서를 지배하지 않도록 이미지 다이제스트로 중복을 제거합니다.
  • 가능한 경우 CVE 항목에 심각도 및 CISA KEV 상태를 포함합니다; 알려진 악용이 없는 CVSS-high 결과보다 KEV 적중을 상위에 순위 지정합니다.
  • “지원 기간 내 드리프트”와 “EOL”을 명시적으로 구분합니다 — 전자는 일상적인 것이고 후자는 긴급한 것입니다.
  • 지원 목록에 없는 레지스트리(워크플로 3)의 경우 이미지를 자동으로 건너뛰는 대신 명시합니다.
  • 단일 워크로드의 오래된 이미지가 초점인 경우 /investigate로 전달합니다.