Kubernetes Blog
·
Kubernetes v1.35:通过exec插件白名单限制kubeconfigs调用的可执行文件
💡
原文英文,约800词,阅读约需3分钟。
📝
内容提要
Kubernetes v1.35新增凭证插件策略和白名单功能,用户可通过配置文件限制kubectl执行的凭证插件,从而增强安全性,防止供应链攻击。
🎯
关键要点
- Kubernetes v1.35新增凭证插件策略和白名单功能,增强安全性。
- kubectl可以在用户不知情的情况下运行任意可执行文件,存在安全隐患。
- 用户可以通过配置文件限制kubectl执行的凭证插件,防止供应链攻击。
- 新功能以beta版本提供,无需编写应用代码即可管理。
- 可以通过设置credentialPluginPolicy和credentialPluginAllowlist字段来限制可执行的凭证插件。
- 提供了三种策略选项:AllowAll、DenyAll和Allowlist。
- Allowlist允许用户指定特定的凭证插件,增强控制。
- 未来计划增加更多要求,如校验和验证和签名验证。
- Kubernetes SIG CLI欢迎用户反馈和贡献,鼓励参与讨论。
