4.x Versionshinweise

Fügen Sie eine Umgebungsvariable für den Enforcer hinzu, um das Scannen von Geheimnissen zu deaktivieren, was in einigen Umgebungen Ressourcen verbrauchen kann. Setzen Sie ENF_NO_SECRET_SCANS=1

Im Schwachstellen-Explorer > CSV-Download, zeigen Sie betroffene Container in mehreren Zeilen anstelle derselben Zelle an.

Reduzieren Sie das Scannen von Geheimnissen durch den Enforcer, um die Möglichkeit langer Scanning-Aufgaben zu vermeiden, die Speicher verbrauchen können. Dies kann durch eine große Image-Registry oder einen lokalen Datenbank-Scan verursacht werden.

Beheben Sie den Fehler beim Versuch, CSV für in der Schwachstellen-Explorer-Sicherheitsrisiken → Schwachstellen gefundene CVEs zu exportieren, ohne Filter zu verwenden, die CSV-Datei ist leer.

Beheben Sie das Timing-Problem beim Upgrade von 4.2.2, das zu einer impliziten Ablehnung für gesamten Datenverkehr führen kann. Die aktuellste Lösung betrifft die XFF-Einstellungen während der rollierenden Updates.

Erlauben Sie Benutzern, einen anderen Image-SHA-Hash anstelle von Tags https://github.com/neuvector/neuvector-helm/pull/140. anzugeben, der an den Operator weitergegeben wird.

Ersetzen Sie das selbstsignierte Zertifikat für den Manager, das am 23. Januar 2022 abläuft, durch ein neues, das im Januar 2024 abläuft.

Verbessern Sie die Möglichkeit, nicht verwaltete Workloads in der Netzwerkaktivitätskarte anzuzeigen, die nicht relevant sind.

Beheben Sie Controller-Abstürze beim Scannen der GitLab-Registry.

Die Zulassungssteuerung blockiert bei einigen Images nicht. Dies liegt daran, dass eine in mehreren Paketen gefundene Schwachstelle als eine Schwachstelle in der Zulassungssteuerung des Controllers behandelt und behoben wird.

Das Upgrade von 4.2.2 auf 4.3.2 führt zu einer impliziten Ablehnung für gesamten Datenverkehr, wenn während des rollierenden Upgrades hoher Datenverkehr auftritt.

Das Helm-Chart v1.8.9 wird für 5.0.0-Bereitstellungen veröffentlicht.

Fügen Sie Unterstützung für das Scannen von eingebetteten Java-JARs und JARs ohne Maven-Datei hinzu, zum Beispiel log4j-core-2.5.jar, wenn pom.xml nicht existiert.

Fügen Sie die CVE-Datenbankquelle von GitHub-Hinweise für Maven hinzu, beginnend mit der Scanner/CVE-Datenbankversion 2.531.

Die REST-API Referenzdokument wird auf 4.4.1 und 4.4.2 aktualisiert.

Beheben Sie das im Enforcer festgestellte Speicherleck.

Fügen Sie Unterstützung für cgroup v2 hinzu, die für einige Umgebungen wie SUSE Linux Enterprise Server 15 SP3 erforderlich ist.

Beheben Sie das Problem, bei dem der Enforcer CVE-2021-44228 in laufenden Containern nicht erkennen kann.

Reduzieren bzw. beheben Sie den hohen Speicherverbrauch des Enforcers in einigen Umgebungen.

Problem mit dem Import/Export der nv.ip-Gruppenrichtlinie behoben.

Problem beim Entfernen einer Gruppe ohne Container-Mitglieder behoben.

Beheben Sie das Problem, dass man sich beim neuvector-prometheus-exporter intermittierend nicht einloggen kann.

Problem mit dem REST-API-Endpunkt /v1/response/rule?scope=local behoben, bei dem nicht alle Antwortregeln gelöscht wurden.

Unterstützung für die Anpassung von Affinität und Toleranz für Controller, Scanner und Manager.

Unterstützung für nodeSelector für Controller-, Manager-, Scanner- und Updater-Pods hinzugefügt.

Unterstützung für benutzerdefinierte Umgebungsvariablen für den Controller-Container.

Neue Splunk-App für SUSE® Security wurde bei https://splunkbase.splunk.com/app/6205/ veröffentlicht.

Fügen Sie die Möglichkeit hinzu, eine Schwachstelle (CVE) zu 'Akzeptieren', um sie von Berichten, Ansichten, Risikobewertungen usw. auszuschließen. Eine Schwachstelle kann ausgewählt und die Schaltfläche Akzeptieren von mehreren Bildschirmen wie Sicherheitsrisiken → Schwachstellen, Assets → Container usw. angeklickt werden. Sobald sie akzeptiert wurde, wird sie zur Liste der Sicherheitsrisiken → Schwachstellenprofil hinzugefügt. Sie kann hier angezeigt, exportiert und bearbeitet werden. Bitte beachten Sie, dass diese Akzeptieren-Funktion auf aufgeführte Images und/oder Namespaces beschränkt werden kann. Neue Einträge können auch manuell von diesem Bildschirm aus zu dieser Liste hinzugefügt werden.

Aktivieren Sie eine Konfigurationsbewertung einer Kubernetes-Bereitstellungs-YAML-Datei. Laden Sie eine YAML-Datei von Richtlinie → Admission Control hoch, und sie wird gegen alle Regeln der Admission Control überprüft, um zu sehen, ob sie gegen eine Regel verstößt. Ein Bericht über die Bewertung kann aus diesem Fenster heruntergeladen werden.

Die feste Paketaufnahme ist für den Pod mit dem Istio-Seitenproxy nicht verfügbar.

Schreiben von Allinone nach /dev/null.json entfernen.

Unterstützung für Openshift CIS-Benchmark 1.0.0 und 1.1.0.

Unterstützung für die Option des Admission-Control-Dry-Runs.

Verbesserung der Beschreibung der Quelle der Kriterien für die Zulassungskontrolle. Verbesserung der Kriterien für Labels in der Zulassungskontrolle, um weitere Kriterien hinzuzufügen.

Unterstützung für den Scan der GitLab-Cloud (SaaS) Registry.

Unterstützung für den Scan von Multi-Architektur-Images.

ConfigMap-Überschreibungsoption zum Zurücksetzen der Konfiguration, wann immer der Controller startet. Die Option 'always_reload: true' kann in jeder ConfigMap-YAML verwendet werden, um das Laden dieser YAML jedes Mal zu erzwingen, wenn der Controller startet.

Vorgefertigte PSP-Best-Practice-Regeln für die Zulassungskontrolle einbeziehen.

Testunterstützung für das AppArmor-Profil zum Ausführen von SUSE® Security als nicht privilegierte Container.

Benutzern erlauben, auf den Gruppennamen in der Liste der Sicherheitsereignisse zu klicken, um zur Auswahl der Richtlinien-→-Gruppen zu gelangen.

Indikator für das Zulassungskontrollkriterium hinzufügen, um zu bestimmen, ob das Scanergebnis erforderlich ist.

Warnung, wenn nicht alle SUSE® Security Komponenten die gleiche Version ausführen.

Docker Swarm/Mirantis-Plattform in der Netzwerkaktivitäts-→-Ansicht → System anzeigen. Dies wird durch das Hinzufügen der Umgebungsvariable für den Enforcer NV_SYSTEM_GROUPS ermöglicht.

Aktualisieren Sie die Cronjob-Version im Helm-Chart (v. 1.8.3).

Unterstützung der Jenkins-Master-Slave-Konfiguration im Jenkins-Plugin.

Knotenbeschriftungen unter Assets → Knoten anzeigen.

Zeigen Sie Statistiken für den Controller in Assets → Systemkomponenten an.

Berichten Sie, ob eine Schwachstelle in den Basisschichten des Images im Image-Scan vorhanden ist, wenn die REST-API zum Scannen von Images verwendet wird. Das Basis-Image muss im API-Aufruf identifiziert werden, wie im folgenden Beispiel.

Machen Sie die Höhe der Enforcer-Liste anpassbar.

Bereinigen Sie alle angezeigten Felder, um XSS-Angriffe zu verhindern.

Die neue Anzeige der Netzwerkaktivität in der Konsole verbessert die Leistung und das Design der Objekt-Icons. Das neue UI-Framework verbessert die Ladezeiten für Tausende von anzuzeigenden Objekten erheblich. Sitzungsfilter werden bis zur Abmeldung in Netzwerkaktivität, Sicherheitsrisiken und anderen Menüs beibehalten. Die GPU-Beschleunigung ist aktiviert, kann jedoch deaktiviert werden, wenn dies zu Anzeigeproblemen führt. Hinweis: Bekanntes Problem mit bestimmten Windows-PCs mit aktivierter GPU.

Fügen Sie die Möglichkeit hinzu, Gruppenrichtlinien (CRD-Datei im YAML-Format) von der Konsole zu importieren, um nicht-Kubernetes-Umgebungen zu unterstützen. Wichtig: Importierte CRDs von der Konsole werden NICHT als CRD-Regeln klassifiziert und angezeigt. Sie können über die Konsole bearbeitet werden, im Gegensatz zu CRDs, die über Kubernetes angewendet werden.

Unterstützt mehrere Web Hook-Endpunkte. In den Einstellungen → Konfiguration können mehrere Web Hook-Endpunkte hinzugefügt werden. In den Antwortregeln ermöglicht das Erstellen einer Regel dem Benutzer, auszuwählen, welche Endpunkt(e) per Web Hook benachrichtigt werden sollen.

Unterstützung der Konfiguration mehrerer Web-Hook-Endpunkte in föderierten Regeln.

Unterstützt das JSON-Format für Web Hooks. Sie können jetzt JSON, Schlüssel-Wert-Paare oder Slack als Web Hook-Formate beim Erstellen eines Web Hooks konfigurieren.

Unterstützung benutzerdefinierter Benutzerrollen zur Zuordnung zu einem Namespace-Benutzer. Die Verzeichnisintegration unterstützt die Zuordnung von Gruppen zu Rollen, wobei die Rolle auf Namespaces beschränkt werden kann. Beschränkung: Wenn der Benutzer in mehreren Gruppen ist, wird die Rolle der erst zutreffenden Gruppe zugewiesen. Bitte beachten Sie die Reihenfolge der Konfiguration für ein korrektes Verhalten.

Laden Sie die Liste der externen IP-Adressen für Egress-Verbindungen herunter. Es wurde die Möglichkeit hinzugefügt, einen Bericht/CSV von der Dashboard-Seite im Abschnitt Eingangs- und Ausgangsexposition herunterzuladen.

Unterstützung der CVE-Medium-Kriterien in den Antwortregeln.

Fügen Sie die vordefinierte PSP-Best-Practice-Regel zu den Zulassungskontrollregeln hinzu. Zum Beispiel können die folgenden vordefinierten Kriterien eine Bereitstellung alarmieren oder blockieren: Als privilegiert ausführen, als Root ausführen, IPC-Namespaces des Hosts teilen = true, Netzwerk des Hosts teilen = true, PIC-Namespaces des Hosts teilen = true.

Unterstützung der Verwendung von Namespaces im erweiterten Filter für Sicherheitsrisiken, Schwachstellen und Compliance für den Bericht über Vermögenswerte im PDF-Format.

Unterstützung der Kriterien für Admission Control-Regeln basierend auf dem CVE-Score.

Fügen Sie eine Schaltfläche "Test Registry" hinzu, wenn Sie die Registry-Scans für Registries konfigurieren, die diese Funktion unterstützen, wie Docker und JFrog.

Verbessern Sie den Download des Support-Protokolls und die Debug-Einstellungen des Controllers. Aktivieren Sie die Download-Einstellungen wie cPath und welche Komponenten-Protokolle heruntergeladen werden.

Fügen Sie die Unterstützung für Kubernetes 1.21 hinzu.

Unterstützt Kubernetes 1.21 mit containerd 1.4.4. Die containerd-Laufzeit v1.4.4 ändert ihre cgroup-Darstellungen.

Der Scanner identifiziert das Betriebssystem als ol:7.9 mit falsch-positiven CVEs.

Unterstützen Sie das eigenständige Scanner-Deployment in der Azure DevOps-Erweiterung.

Das Helm-Chart v1.8.0 wurde aktualisiert, um standardmäßig registry.neuvector.com als Standard-Registry zu verwenden. HINWEIS: Sie müssen das Versionstag manuell angeben.

Fügen Sie konfigurierbare Parameter wie Controller-API-Annotationen im Helm-Chart hinzu. Verfügbar ab Version 1.7.6+.

Community Operator 1.2.6, Certified Operator 1.2.7 aktualisiert, um die Helm-Chart-Updates widerzuspiegeln, einschließlich der Hinzufügung der OpenShift-Route, wenn controller.apisvc.type aktiviert ist. Der zertifizierte Operator 1.2.7 stellt SUSE® Security Version 4.2.2 bereit.

Fügen Sie das HTML-Ausgabeformat für Scannergebnisse in den Jenkins-Pipeline-Ergebnissen hinzu.

Fügen Sie den Namespace der betroffenen Arbeitslast in den Prometheus-Exporter-Warnungen hinzu. Jetzt unterstützt in neuvector/prometheus-exporter:4.2.2 und später.

Aktivieren Sie die Durchsetzung einer Passwort-Richtlinie. Wenn diese Funktion aktiviert ist, müssen Passwörter die konfigurierten Mindestanforderungen an die Sicherheit erfüllen. Gehen Sie zu Einstellungen - Benutzer/Rollen, um die Passwort-Richtlinie festzulegen, einschließlich der erforderlichen Mindestanzahl an Zeichen, Großbuchstaben, Ziffern und Sonderzeichen. Das Raten und die Wiederverwendung von Passwörtern werden ebenfalls verhindert.

Schrägstrich in Schlüssel/Wert in der CRD-Gruppendefinition erlauben.

SAML verbessern, um CAC-Authentifizierung zu unterstützen. SAML AFDS: Authentifizierungsmethode für die Common Access Card (CAC).

Kompatibilität mit OpenShift 4.7 überprüfen.

Die Bedingung beheben, bei der der Enforcer den Neustart des Knotens bei einem OpenShift-Update um bis zu 20 Minuten verzögert.

Die Terminologie für unmanaged Knoten auf 'Knoten' korrigieren.

Der CRD-Import hat unerwartete Ergebnisse produziert. Ein Konvertierungstool steht von SUSE® Security zur Verfügung, um das CRD-Format früherer Versionen zu konvertieren.

In AKS wurden Webhook-Zertifikate ohne SAN für k8s v1.19+ erstellt.

Die föderierte Richtlinie funktioniert inkonsistent und nicht wie erwartet. Die Logik für unmanaged Workload-IP verbessern, um unnötige Verstöße zu reduzieren.

Vordefinierte Datei-Zugriffsregeln werden nicht in der Konsole angezeigt.

Die Spaltenüberschriften sind in mehreren Konsolenansichten wie Assets→Registry→Modul-Scan-Ergebnisse falsch. Einige PDF-Berichte waren ebenfalls betroffen und wurden behoben. Andere Bereiche, hauptsächlich im Sonatype-Build, wurden behoben.

Multi-Cluster-Überwachung. Zentralisierte Sichtbarkeit der Sicherheitslage aller verwalteten Cluster, indem der Risikowert und die Clusterzusammenfassung für jeden Cluster auf der Multi-Cluster-Management-Seite angezeigt werden. Hinweis: Die Multi-Cluster-Föderation erfordert eine separate Lizenz.

Fügen Sie Unterstützung für die nutzungsbasierte Abrechnung von IBM Cloud hinzu.

Verbessern Sie den PCI-Compliance-Bericht, um die Asset-Ansicht anzuzeigen und Schwachstellen nach Dienst aufzulisten.

Fügen Sie eine Zusammenfassung der Scanergebnisse hinzu, bevor die Schwachstellen aufgelistet werden.

Unterstützen Sie die Red Hat OVAL2-Datenbank, die für die Zertifizierung des Red Hat Vulnerability Scanners erforderlich ist.

Unterstützen Sie die Beta-Version der CIS-Benchmarks für Red Hat OpenShift ('inspiriert von CIS'). Dies wird finalisiert, wenn CIS.org die offizielle Version veröffentlicht. Dieses Feature wird für Implementierungen der OpenShift-Version 4.3+ unterstützt.

Erlauben Sie die Filterung von API-Abfragen, um Bedingungen wie erlaubte oder abgelehnte Bilder über API-Aufrufe zu überprüfen.

Fügen Sie Unterstützung für den CIS Kubernetes-Benchmark 1.6.0 hinzu.

Berichten und zeigen Sie die während des Scans erkannten Image-Module in den Scanergebnissen an. Dies wird in einem Tab in den Image-Scanergebnissen angezeigt und ist in den Scanergebnissen der REST-API enthalten.

Erlauben Sie die Bearbeitung von Filtern in den Konfigurationen von Registry, Gruppe und Antwortregel über die Konsole.

Aktualisieren Sie die ConfigMap, um group_claim in oidcinitcfg.yaml und samlinitcfg.yaml sowie Xff_Enabled in sysinitcfg.yaml hinzuzufügen.

Die YAML der API wird für 4.2 im Automatisierungsbereich aktualisiert.

Der Enforcer kann dem bestehenden Cluster nicht beitreten, manchmal dauert es 10 Minuten, wenn zu viele Enforcer registriert sind. Dies geschieht, wenn Enforcer unsanft beendet werden, aber weiterhin für Lizenzprüfungen registriert sind, was verhindert, dass andere Enforcer beitreten, wenn das Lizenzlimit erreicht ist.

Behoben: Wildcard-DNS-Verkehr wurde blockiert. Die Zwischenspeicherung der DNS-Ergebnisse, die mit der Wildcard-DNS-Adressen-Gruppe übereinstimmen, wurde verbessert.

Beheben Sie eine seltene Bedingung, bei der CRD-Zertifikate für Webhook und Controller nicht synchron sind.

Legende im Netzwerkaktivitätsdisplay von 'Unmanaged' in 'Nodes' korrigieren.

Knoten, die als Arbeitslast erkannt werden, führen zu impliziten Verstößen.

Verbesserungen des Jenkins-Plugins:

Helm-Chart auf 1.7.1 aktualisieren.

Aktivieren Sie das Umschalten für XFF-Weiterleitung, um die SUSE® Security Richtlinie, die standardmäßig aktiviert ist, davon abzuhalten, sie zu verwenden. Dies steht im Zusammenhang mit einer Funktion, die in 4.1.1 hinzugefügt wurde, um die Unterstützung für x-forwarded-* Header hinzuzufügen. Um zu deaktivieren, gehen Sie zu Einstellungen → Konfiguration. WICHTIG: Siehe die detaillierte Beschreibung des Verhaltens von XFF-FORWARDED-FOR unten.

Behoben: CVE-2020-1938 wird nun erkannt.

Beheben Sie den Fehler: Manager – Export der Konfigurationen des Abschnitts {policy, user, config} fehlgeschlagen.

Beheben Sie den Fehler: Der Filter im Netzwerkaktivitätsgraph funktioniert nicht.

Verbesserung des CPU- und Speicherverbrauchs des Controllers.

Jenkins-Plugin aktualisiert, um einen eigenständigen Scanner zu unterstützen. Bitte sehen Sie den Abschnitt zu den Versionshinweisen Integrationen & andere Komponenten für Details ein.

Unterstützung für AWS EKS AMI-Version v20210112 hinzufügen, um ulimit-Probleme zu beheben.

Benutzern erlauben, den Richtlinienmodus beim Export von CRDs zu ändern.

OIDC-Unterstützung für Claims vom /oauth/userinfo-Endpunkt.

Cluster-Knoten-Aktualisierungsunterstützung, um vorübergehende Unterstützung für das Wachstum von Knoten und die Migration von Pods zwischen Knoten zu ermöglichen.

Erstellen Sie einen Nutzungsbericht zum Herunterladen von der Seite Einstellungen → Konfiguration.

Wildcard-Unterstützung im Namespace bei der Zuweisung von Benutzerrollen.

Verbesserung der Logik zum Entfernen von Gruppen und Richtlinien. Konfigurierbare Einstellung, wann eine ungenutzte Gruppe basierend auf dem Zeitraum seit der letzten Nutzung entfernt wird.

Ermöglichen Sie dem Benutzer, die Dauer der Paketaufzeichnung zu konfigurieren.

Unterstützung für die Rolle des Lesers für das Multi-Cluster-Management hinzufügen.

Der eigenständige Scanner übermittelt jetzt das Scanergebnis über die REST-API. Siehe unten für die Scanner-Details.

Erkennen und Blockieren des Man-in-the-Middle-Angriffs, der in CVE-2020-8554 gemeldet wurde.

Unterstützung für nutzungsbasierte Lizenzmodelle hinzufügen.

Schritt zur Erstellung von CRDs (z. B. NvSecurityRule) aus den Beispielbereitstellungs-YAMLs für Kubernetes und Openshift entfernen. Dies ist nicht erforderlich (der Controller erstellt diese automatisch). Die Helm-Bereitstellung kümmert sich ebenfalls um diese.

Verbesserung der hohen Speichernutzung beim Controller und Enforcer.

Ein Fehler wird zurückgegeben, wenn versucht wird, einen Registrierungsfilter zu konfigurieren. Ermöglichen Sie die Verwendung von Wildcards an beliebiger Stelle im Repo-/Tag-Filter.

Block-Richtlinie funktioniert nicht wie erwartet. Unterstützung für x-forwarded-* Header hinzufügen. WICHTIG: Siehe die detaillierte Beschreibung des Verhaltens von XFF-FORWARDED-FOR oben als Teil der Versionshinweise 4.1.2.

Helm-Chart-Fehler beim Setzen des Controller-Ingress auf true.

Aufgrund eines Gateway-Timeouts kann die Netzwerkregel nicht hinzugefügt und gespeichert werden.

In den Beispielen für Configmaps fehlt das Feld Group_Claim. Hinzugefügt zur Dokumentation der Configmap.

Verstoß gegen das Prozessprofil beim Beenden des Controller-Pods.

Verstoß gegen das Prozessprofil, der beim Beenden des Controller-Pods auftritt.

Implizite Verstöße für vom Benutzer erstellte Adressgruppen, die Platzhalter in Hostnamen verwenden.

Erlauben Sie dem Benutzer, die PriorityClass des Manager-/Controller-/Enforcer-/Scanner-Deployments anzupassen. Wir empfehlen, SUSE® Security Containern eine höhere Priorität zu geben, um sicherzustellen, dass die Sicherheitsrichtlinien durchgesetzt werden, wenn die Ressourcen des Knotens unter Druck stehen oder während eines Cluster-Upgrade-Prozesses.

Erstellen Sie ein separates Chart für CRD. Dies ermöglicht es, CRD-Richtlinien zu erstellen, bevor SUSE® Security Kerneldienste bereitgestellt werden. Wenn das neue Chart verwendet wird, sollten die CRD-Ressourcen im Kernel-Chart, die zur Rückwärtskompatibilität beibehalten werden, mit crdwebhook.enabled=false deaktiviert werden.

Erlauben Sie dem Benutzer, das Dienstkonto für SUSE® Security Implementierung anzugeben. Zuvor wurde das 'Standard'-Dienstkonto des Namensraums verwendet. Im Fall, dass SUSE® Security zusammen mit anderen Anwendungen in einem Namensraum implementiert wird, ist es für einige Benutzer nicht ratsam, das Standarddienstkonto des Namensraums zu verwenden.

Konsole – auf der Seite 'Containerliste Assets → Container' sollten die Fenstertrenner verschiebbar sein, um ihre Größe anzupassen.

Fügen Sie Zulassungssteuerungsprüfungen für Pod-Host-Namensräume hinzu. Erlauben Sie dem Benutzer, zu wählen, ob der Pod das Netzwerk, IPC, PID-Namensräume des Hosts nicht teilen soll. Weitere Details finden Sie unten.

Möglichkeit, die Liste der Container zu exportieren, die im privilegierten Modus oder als "runasroot" ausgeführt werden.

In Benachrichtigungen → Sicherheitsereignisse, aktivieren Sie die Anzeige von Informationen über die Ereignisattribute einfach, ohne den Bildschirm zu wechseln.

Problem mit Jumbo-Frames (aktiviert in einigen Public Clouds). Symptom: Die Haupt-Prometheus-Anwendungs-URI /graph wird unzugänglich, wenn die Prometheus-Gruppe in den Schutzmodus versetzt wird.

Fehlende Namespace-Option im Schwachstellenfilter. Erlauben Sie den Benutzern, den Namespace auszuwählen/einzutragen, in dem SUSE® Security als Filtereintrag installiert ist.

Falsch-positiv in OpenSSL-Version 1.1.1c-1, betroffen von CVE-2020-1967.

Unerwartete implizite Verstoßverletzungen für vom Benutzer erstellte Adressgruppen mit Platzhalter-Hostnamen. Probleme mit der Verwendung von DNS-Namen (mit Platzhaltern) für Firewall-Verkehr.

Verbessern Sie die Erkennung, um falsche positive SQL-Injection zu entfernen.

Fügen Sie Unterstützung für das Scannen von distroless Images hinzu.

Fügen Sie die Möglichkeit hinzu, einen einzelnen Image-Scan aus der Registry auszulösen, wobei die Ergebnisse für die Zulassungssteuerung verfügbar sind.

Aktualisieren Sie die JFrog Xray-Integration auf die neuen API-/Authentifizierungsanforderungen der JFrog-Plattform.

Fügen Sie Informationen über Scanner im Manager hinzu, wie Version und Scanner-Statistiken.

Fügen Sie einen Schnellfilter hinzu, um Sicherheitsereignisse auszuschließen (ähnlich wie grep -v).

Aktualisieren Sie die CVE-Schweregrade, um mit den Schweregraden der NVD-Schwachstellen übereinzustimmen. Unter Verwendung des größeren der CVSS v2- und v3-Werte sind die Bewertungen hoch für >=7, mittel für >=4.

Unterstützung für eigenständige Scanner-Bereitstellung für lokale Image-Scans (benötigt keinen Controller). Fügt neue Umgebungsvariablen SCANNER_LICENSE, SCANNER_REGISTRY, SCANNER_REPOSITORY, SCANNER_TAG, SCANNER_REGISTRY_USERNAME, SCANNER_REGISTRY_PASSWORD, SCANNER_SCAN_LAYERS, CLUSTER_JOIN_ADDR, CLUSTER_JOIN_PORT hinzu.

Unterstützung für die automatische Vervollständigung von Namespace für die Erstellung von Namespace-Benutzern in den Einstellungen → Benutzer.

Fügen Sie die Möglichkeit hinzu, von dem Jenkins-Scanner-Plugin ausgenommene CVEs einzugeben.

Fügen Sie Kriterien für die Zulassungssteuerung hinzu, um Images zu blockieren, für die der Scan das Betriebssystem nicht erkennen konnte (z. B. Archlinux-Images) und daher keine Schwachstellen gefunden wurden. Ein neues Kriterium "Bild ohne OS-Informationen" wurde hinzugefügt. Wenn es auf wahr gesetzt ist, bedeutet dies, dass das Basis-OS des Bildes nicht verfügbar ist.

Verbesserung (Verringerung) der Speichernutzung des Controllers.

Aktivieren Sie die Unterstützung für Webhook-Funktionen wie Admission Control und CRD in Kubernetes 1.19.

Fügen Sie Unterstützung für apiextensions.k8s.io/v1-Implementierungen hinzu, wie für Kubernetes 1.19 erforderlich (und in k8s 1.18 unterstützt).

Unerwarteter Verstoß gegen die Prozessprofil-Regel, der durch das übergeordnete Shell-Skript für den Prozess in der erlaubten Liste verursacht wird.

Fügen Sie Unterstützung für Wildcard-Filter in der Harbor-Registry hinzu (konfiguriert mit den Docker-Registry-Einstellungen).

Verbessern Sie die Handhabung von ConfigMaps, um sie neu zu laden, wenn das Admin-Passwort auf den Standardwert zurückgesetzt wird. Dies dient dazu, unsicheren Zugriff zu verhindern, wenn das System von einem Cluster-Speicherfehler wiederhergestellt wird.

Diese Sicherheitsfreigabe betrifft die SUSE® Security Manager- und All-in-One-Container, um das hohe CVE-2020-14363 zu beheben, das in der Basis-Alpine-Schicht im Paket libx11 gefunden wurde. Im Rahmen des Updates wird auch das mittlere CVE-2020-8927 behandelt. Dieses Problem, obwohl es unwahrscheinlich ist, dass es ausgenutzt werden kann, betrifft die Manager-Konsole für SUSE® Security und hat keine Auswirkungen auf die Operationen der Controller- oder Enforcer-Container.

Anpassbare Compliance-Vorlagen. Voreingestellte Vorlagen für PCI, DSGVO, HIPAA, NIST. Jede CIS-Benchmark und jede benutzerdefinierte Überprüfung kann mit einer oder mehreren Compliance-Vorschriften gekennzeichnet werden. Berichte können dann für jede erstellt werden. Sicherheitsrisiken → Compliance-Profil.

Unterstützung für den Workflow des Schwachstellenmanagements. Verfolgen Sie den Status von Schwachstellen und erstellen Sie Richtlinien basierend auf den Entdeckungsdaten von Schwachstellen und anderen Kriterien. Sicherheitsrisiken → Schwachstellen (Erweiterter Filter) und Regeln für die Zulassungssteuerung.

Überprüfung von Geheimnissen. Über 20 Überprüfungen von Geheimnissen sind enthalten und werden automatisch bei Bildscans und Ressourcen-YAMLs ausgeführt. Die Ergebnisse zeigen Bestehen/Warnung in den Compliance-Berichten zu Schwachstellen in Assets-Registries → und Sicherheitsrisiken → Compliance.

Granulares RBAC für SUSE® Security Benutzer. Erstellen Sie benutzerdefinierte Rollen mit granularen Lese-/Schreibberechtigungen für SUSE® Security Funktionen. Weisen Sie Benutzer Rollen zu. Einstellungen → Benutzer/Rollen.

Skalierbare und getrennte Scanner-Pods. Scanner-Pods können hoch- oder heruntergefahren werden, um Tausende von Bildern zu scannen. Der Controller weist jedem verfügbaren Scanner-Pod Scanaufgaben zu. Wichtig: Der Controller enthält keine Scanner-Funktion mehr, daher muss mindestens ein Scanner-Pod bereitgestellt werden. Außerdem sind die Scanner der Version 4.x NICHT rückwärtskompatibel mit 3.x Controllern; 3.x Implementierungen externer Scanner sollten auf neuvector/scanner:3 aktualisiert werden.

Serverless-Scanning und Risikobewertung für AWS Lambda. Scannen Sie AWS Lambda-Funktionen auf Schwachstellen mit dem Serverless IDE Plugin oder in AWS-Konten. Unterstützte Sprachen sind Java, Python, Ruby, Node.js. Führen Sie eine Risikobewertung durch, indem Sie die IAM-Rollenberechtigungen für Lambda-Funktionen bewerten und eine Warnung ausgeben, wenn unnötige Berechtigungen aktiviert sind. Hinweis: Serverless-Sicherheit erfordert eine separate SUSE® Security Lizenz.

Führen Sie Compliance-Prüfungen während des Bildscans durch. Auch Deployment-YAML-Datei. Dies umfasst setuid, setgid, CIS (als Root usw.), über 20 Geheimnisprüfungen.

Verbessern Sie den Sicherheitsrisikowert im Dashboard mit der Möglichkeit festzulegen, welche Gruppen in die Risikobewertung einfließen. Richtlinie → Gruppen → bewertbare Checkbox. Dies umfasst die Möglichkeit, System-Container von der Risikobewertung auszuschließen.

Unterstützung für einen Namespace-eingeschränkten Benutzer hinzugefügt, um Zugriff auf zugewiesene Registries zu haben.

Aufteilen von Scanning-Syslog-Benachrichtigungen in einzelne CVE-Syslog-Ereignisse.

Erlauben Sie einem Namespace-eingeschränkten Benutzer, Registries zu erstellen, die nur von Benutzern sichtbar sind, die Zugriff auf diesen Namespace haben (einschließlich globaler Benutzer).

PDF-Berichte nach Namespace aus dem Dashboard herunterladen. Wählen Sie einen Namespace aus, um den Dashboard-PDF-Bericht zu filtern.

Das Importverhalten der CRD wurde geändert, um den Richtlinienmodus einer 'verlinkten' Gruppe zu ignorieren, wodurch der Richtlinienmodus unverändert bleibt, wenn die verlinkte Gruppe bereits existiert. Wenn die verlinkte Gruppe nicht existiert, wird sie automatisch erstellt und auf den Standardmodus für neue Dienste in den Einstellungen → Konfiguration gesetzt. Eine 'verlinkte' Gruppe ist eine, die nicht für den Export ausgewählt wurde, aber von einer Netzwerkregel referenziert wird und daher zusammen mit den ausgewählten Gruppen exportiert wurde.

Die Validierung der Registry-URL erlaubt URLs ohne Protokollschema-Präfix. Validierung des Protokollschemas hinzugefügt.

Container-Scans fehlgeschlagen - Fehler beim Lesen von Dateien in bestimmten Situationen. Behebt den Fehler "Fehler beim Lesen der Datei - Fehler=<nil>".

Die Spalte Gruppenmitglied ist ungenau für die Sondergruppe "Knoten".

Abzug (Reduzierung) der Zulassungssteuerungen (4 Punkte) von der Gesamtrisikobewertung für die Docker EE-Plattform, da dies nicht zutrifft.

Ein Nur-Scanner-Controller kann 15-20 Minuten benötigen, um bereit zu werden.

Der Titel der Verteilung "Schweregrad" unter Sicherheitsrisiken > Schwachstellen ist fälschlicherweise als Dringlichkeit beschriftet.

Die Ingress-Regel der Quelle Workload für Sicherheitsereignisse stimmt nicht überein. Unerwartete implizite Verletzung von Workload:Ingress auf der OpenShift 3.11-Plattform. Die interne Subnetzlogik wurde verbessert, um große IP-Bereiche zu verarbeiten.

Der Enforcer meldet einen Fehler beim Versuch, eine Verbindung zu /var/run/docker.sock herzustellen. Fügen Sie eine Wiederherstellung hinzu, falls die Verbindung verloren geht.

Der 4.x Scanner ist NICHT kompatibel mit den Controllern 3.2.0, 3.2.1, 3.2.2. Wenn Sie 3.x externe Scanner bereitgestellt haben und möchten, dass diese weiterhin ausgeführt werden, stellen Sie sicher, dass Sie die Scanner-Bereitstellung mit einem Versions-3-Tag aktualisieren, z.B. neuvector/scanner:3. Alternativ können Sie auf 3.2.3+ aktualisieren.

Lizenz zur Aktivierung der serverlosen Sicherheit erforderlich

Neue Clusterrolebinding und Clusterrole für Kubernetes und OpenShift hinzugefügt

Der Controller hat keinen integrierten Scanner mehr. Sie müssen mindestens 1 Scanner-Pod bereitstellen.

Änderungen der Yaml-Datei in den Hauptbereitstellungsbeispielen:

Sichern Sie die Konfiguration aus Einstellungen → Konfiguration

Erstellen Sie die beiden neuen Bindungen

Setzen Sie die Versions-Tags auf 4.0.0 für die YAML-Dateien Controller, Manager und Enforcer und wenden Sie das Update an.

Erstellen Sie die Scanner-Pods

Erstellen oder aktualisieren Sie den Scanner-Cron-Job

Warten Sie ein paar Minuten, bis das Rolling-Update der Controller abgeschlossen ist, und überprüfen Sie alle Einstellungen nach dem Login…​