K8S 生态周报| Trivy 发布新版本

「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。

1 Trivy 发布 v0.9.x 版本

Trivy ( https://github.com/aquasecurity/trivy ) 是一款由 Aqua Security 开源的镜像漏洞安全扫描程序，对 CI 友好。

在之前的「K8S 生态周报」中，我曾介绍过这款工具。本周其发布了 v0.9.x 系列版本，以下是一些值得注意的变更：

• 支持 GitHub Advisory 数据库 ( https://github.com/advisories )了，相当于扩充了它的漏洞库，可以大幅提升 Trivy 的准确度；
• 支持文件系统扫描，可以直接在已启动的容器中，扫描容器的文件系统；
• 可内置在 Dockerfile 中，在构建镜像的过程中，直接进行漏洞扫描, 例如：

$ cat Dockerfile
FROM alpine:3.7
RUN apk add --no-cache curl \
    && curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/master/contrib/install.sh | sh -s -- -b /usr/local/bin \
    && trivy filesystem --exit-code 1 --no-progress / \
    && trivy --reset && rm -f /usr/loca/bin/trivy && apk del curl
$ docker build -t vulnerable-image

• 支持直接扫描 Git 仓库（当前只允许扫描公开仓库）;

对此版本感兴趣的小伙伴，欢迎下载体验 https://github.com/aquasecurity/trivy/releases/tag/v0.9.1 ( https://github.com/aquasecurity/trivy/releases/tag/v0.9.1 )

2 Kubernetes NGINX Ingress 发布 v0.33

Kubernetes NGINX Ingress 想必大家不会太陌生，此项目也算是发版达人，更新频率较高。

此次发布的 v0.33 中主要的变更如下：

• 使用 NGINX v1.19.0；
• 默认开启 TLSv1.3 ；
• access-log-path 标记成了废弃，请使用 http-access-log-path 和 stream-access-log-path 进行替代；

对此版本感兴趣的小伙伴，欢迎下载体验 https://github.com/kubernetes/ingress-nginx/releases/tag/controller-0.33.0 ( https://github.com/kubernetes/ingress-nginx/releases/tag/controller-0.33.0 )

3 上游进展

• #90191 ( https://github.com/kubernetes/kubernetes/pull/90191 ) CertificateSigningRequest v1beta1 API 和 #91685 ( https://github.com/kubernetes/kubernetes/pull/91685 ) CertificateSigningRequest v1 API 。首先完成了 v1beta1 API，增加了一些字段和其他必要的内容，为后续版本做准备。其次增加了 v1 API，添加了一些向后兼容的改进。整体而言是 CSR API 的一大重要改进；
• #91275 ( https://github.com/kubernetes/kubernetes/pull/91275 ) kubelet 的 --node-status-max-images 参数已移动至配置文件中；

4 题外话

整体而言，本周社区相对安静，主要可能和大的环境有关。各类技术社区也都纷纷加入其中了。

另外，看现在国内相关的报道，还是需要注意身体，保护好自己和家人。