Notas de versão 4.x

Adicionar uma variável de ambiente para o Enforcer desativar a varredura de segredos, que em alguns ambientes pode consumir recursos. Definir como ENF_NO_SECRET_SCANS=1

No Explorador de Vulnerabilidades > download de CSV, mostrar os contêineres afetados em várias linhas em vez de na mesma célula.

Reduzir a varredura de segredos pelo Enforcer para evitar a possibilidade de tarefas de varredura de longa duração que podem consumir memória. Isso pode ser causado por um registro de imagens grande ou por uma varredura de banco de dados local.

Corrigir bug ao tentar exportar CSV para CVEs encontrados no explorador de vulnerabilidades Security Risks → Vulnerabilidades sem usar filtro, o arquivo CSV está vazio.

Corrigir problema de tempo ao atualizar de 4.2.2, que pode resultar em negação implícita para todo o tráfego. A correção mais recente está relacionada às configurações de XFF durante atualizações contínuas.

Permitir que os usuários especifiquem um hash SHA de imagem diferente em vez de tags https://github.com/neuvector/neuvector-helm/pull/140. Será propagado para o Operador.

Substituir o certificado autoassinado do Manager, que expira em 23 de janeiro de 2022, por um novo com expiração em janeiro de 2024.

Melhorar a capacidade de exibir cargas de trabalho não gerenciadas no mapa de Atividade de Rede que não são relevantes.

Corrigir falhas do Controlador ao escanear o registro do gitlab.

O controle de admissão não está bloqueando algumas imagens. Isso ocorre porque uma vulnerabilidade encontrada em vários pacotes é tratada como 1 vulnerabilidade no controle de admissão do Controlador e está corrigida.

A atualização de 4.2.2 para 4.3.2 resulta em negação implícita para todo o tráfego se houver alto tráfego durante a atualização contínua.

O gráfico Helm v1.8.9 é publicado para implantações 5.0.0.

Adicionar suporte para escanear jars java incorporados e jars sem arquivo Maven, por exemplo, log4j-core-2.5.jar, quando pom.xml não existe.

Adicionar fonte de banco de dados CVE de avisos do GitHub para Maven, começando com a versão 2.531 do banco de dados scanner/CVE.

A API Rest documento de referência é atualizada para 4.4.1 e 4.4.2.

Corrigir vazamento de memória detectado no Enforcer.

Adicionar suporte para cgroup v2, que é necessário para alguns ambientes, como SUSE Linux Enterprise Server 15 SP3.

Corrigir o problema em que o Enforcer não consegue detectar CVE-2021-44228 em contêineres em execução.

Reduzir/corrigir o alto uso de memória pelo Enforcer em alguns ambientes.

Corrigir um problema com a importação/exportação da política de grupo nv.ip.

Corrigir problema ao remover um grupo sem membros de contêiner.

Corrigir o problema de não conseguir fazer login usando o neuvector-prometheus-exporter intermitentemente.

Corrigir problema com o endpoint da API REST /v1/response/rule?scope=local que não está excluindo todas as regras de resposta.

Suporte à personalização de afinidade e tolerância para o controlador, scanner e Manager.

Adicionar suporte a nodeSelector para os pods do Controlador, Manager, Scanner e atualizador.

Suporte a variáveis de ambiente definidas pelo usuário para o contêiner do controlador.

Novo aplicativo Splunk para SUSE® Security foi publicado em https://splunkbase.splunk.com/app/6205/

Adicionar a capacidade de 'Aceitar' uma vulnerabilidade (CVE) para excluí-la de relatórios, visualizações, pontuação de risco etc. Uma vulnerabilidade pode ser selecionada e o botão Aceitar clicado a partir de várias telas, como Riscos de Segurança → Vulnerabilidades, Ativos → Contêineres etc. Uma vez aceita, ela é adicionada à lista de Perfil de Vulnerabilidade de Riscos de Segurança →. Pode ser visualizada, exportada e editada aqui. Observe que este recurso de Aceitar pode ser limitado a Imagens e/ou namespaces listados. Novas entradas também podem ser adicionadas manualmente a esta lista a partir desta tela.

Habilitar uma Avaliação de Configuração de um arquivo yaml de implantação do kubernetes. Carregar um arquivo yaml da Política → de Controle de Admissão, que será revisado em relação a todas as regras de Controle de Admissão para verificar se aciona alguma regra. Um relatório da avaliação pode ser baixado desta janela.

Captura de pacotes fixa não está disponível para o pod com proxy sidecar do istio.

Remover gravação por Allinone para /dev/null.json

Suporte ao benchmark Openshift CIS 1.0.0 e 1.1.0.

Suporte à opção de dry-run do controle de admissão.

Melhorar a descrição da fonte dos critérios de controle de admissão. Melhorar os critérios de rótulos no controle de admissão para adicionar outros critérios.

Suporte à varredura do registro em nuvem do gitlab (SaaS).

Suporte à varredura de imagens multi-arquitetura.

Opção de substituição do ConfigMap para redefinir a configuração sempre que o controlador iniciar. O 'always_reload: true' pode ser usado em qualquer yaml de configMap para forçar o recarregamento desse yaml toda vez que o controlador iniciar.

Incluir regras de controle de admissão de melhores práticas de PSP pré-construídas.

Testar suporte para perfil AppArmor para executar SUSE® Security como contêineres não privilegiados.

Permitir que os usuários cliquem no nome do Grupo na lista de eventos de Segurança para ir à seleção de Grupos da →Política.

Adicionar indicador para critério de controle de admissão para determinar se o resultado da varredura é necessário.

Aviso se todos os componentes SUSE® Security não estiverem executando a mesma versão.

Mostrar a plataforma Docker Swarm/Mirantis na Atividade de Rede → Visualizar → Mostrar Sistema. Isso é habilitado adicionando a variável de ambiente para o Enforcer NV_SYSTEM_GROUPS.

Atualizar a versão do cronjob no Helm chart (v. 1.8.3).

Suportar configuração mestre-escravo do Jenkins no plug-in do Jenkins.

Exibir rótulos de nós em Ativos → Nós.

Exibir estatísticas para o Controlador em Ativos → Componentes do Sistema

Relatar se uma vulnerabilidade está nas camadas da imagem base na varredura de imagem ao usar a API REST para escanear imagens. A imagem base deve ser identificada na chamada da API, como no exemplo abaixo.

Tornar a altura da lista do enforcer ajustável.

Sanitizar todos os campos exibidos para prevenir ataques XSS.

Nova exibição de Atividade de Rede no console melhorou o desempenho e o design do ícone do objeto. Novo framework de UI melhora drasticamente os tempos de carregamento para milhares de objetos a serem exibidos. Os filtros de sessão são mantidos até o logout na Atividade de Rede, Riscos de Segurança e outros menus. A aceleração de GPU está habilitada, o que pode ser desativado se isso causar problemas de exibição. Nota: Problema conhecido com certos PCs com Windows com GPU habilitada.

Adicionar a capacidade de importar Política de Grupo (arquivo CRD em formato yaml) do console para suportar ambientes não-Kubernetes. Importante: CRDs importados do console NÃO são classificados e exibidos como regras CRD. Eles podem ser editados através do console, ao contrário dos CRDs aplicados através do Kubernetes.

Suporte a múltiplos endpoints de web hook. Nas Configurações → Configuração, múltiplos endpoints de web hook podem ser adicionados. Nas Regras de Resposta, criar uma regra permite ao usuário selecionar quais endpoints notificar por web hook.

Suporte à configuração de (múltiplos web hook) em regras Federadas.

Suporte ao formato JSON para web hooks. Agora é possível configurar JSON, pares chave-valor ou Slack como formatos de web hook ao criar um web hook.

Suporte a papéis de usuário personalizados para mapear a um usuário de namespace. O suporte à integração de diretórios permite mapear grupos para papéis, com o papel podendo ser limitado a namespace(s). Limitação: Se o usuário estiver em múltiplos grupos, o papel será o do grupo 'primeiro correspondente' atribuído. Por favor, siga a ordem de configuração para um comportamento adequado.

Baixe a lista de IPs externos para conexões de egress. Adicionada a capacidade de baixar relatório/CSV da página do Dashboard na seção Exposição de Ingress e Egress.

Suporte a critérios cve-médio nas Regras de Resposta.

Adicione a regra de Melhor Prática PSP pré-configurada às regras de Controle de Admissão. Por exemplo, os seguintes critérios predefinidos podem alertar/bloquear uma implantação: Executar como Privilegiado, Executar como Root, Compartilhar os namespaces IPC do host = verdadeiro, Compartilhar a rede do host = verdadeiro, Compartilhar os namespaces PIC do host = verdadeiro.

Suporte ao uso de Namespace em Filtro Avançado para Riscos de Segurança Vulnerabilidades & Conformidade para relatório de Ativos em PDF.

Suporte a critérios de regra de Controle de Admissão baseados na pontuação CVE.

Adicione um botão de Testar Registro ao configurar a varredura de registro para registros que suportam esse recurso, como Docker e JFrog.

Melhorar o download do log de suporte e as configurações de depuração do controlador. Habilitar configurações de download, como cPath e quais logs de componentes são baixados.

Adicionar suporte para Kubernetes 1.21.

Suportar Kubernetes 1.21 com containerd 1.4.4. O tempo de execução containerd v1.4.4 altera suas representações de cgroup.

O scanner identifica o SO como ol:7.9 com falsos positivos de CVEs.

Suportar a implantação do scanner autônomo na extensão Azure DevOps.

O Helm Chart v1.8.0 é atualizado para usar registry.neuvector.com como o registro padrão. NOTA: É necessário especificar a tag da versão manualmente.

Adicionar parâmetros configuráveis, como anotações da API do Controlador no Helm chart. Disponível a partir da versão 1.7.6+.

Community Operator 1.2.6 e Certified Operator 1.2.7 atualizados para refletir as atualizações do Helm chart, incluindo a adição da rota OpenShift quando controller.apisvc.type está habilitado. O Certified Operator 1.2.7 implanta SUSE® Security versão 4.2.2.

Adicionar formato de saída HTML para os resultados da varredura no pipeline do Jenkins.

Adicionar namespace da carga de trabalho impactada nos alertas do exportador Prometheus. Agora suportado em neuvector/prometheus-exporter:4.2.2 e versões posteriores.

Habilitar a aplicação de uma política de senha. Se este recurso estiver habilitado, as senhas devem atender aos requisitos mínimos de segurança configurados. Vá para Configurações - Usuário/Papéis para definir a política de senha, incluindo caracteres mínimos, letras maiúsculas, numéricos e caracteres especiais exigidos. Também são prevenidas tentativas de adivinhação e a reutilização de senhas.

Permitir barra em chave/valor na definição do grupo CRD.

Aprimorar SAML para suportar autenticação CAC. Método de autenticação SAML AFDS com Cartão de Acesso Comum (CAC).

Verificar compatibilidade com OpenShift 4.7

Corrigir a condição onde o Enforcer está atrasando a reinicialização do nó por até 20 minutos na atualização do OpenShift

Corrigir a terminologia de nós não gerenciados para 'nós'.

A importação de CRD produziu resultados inesperados Uma ferramenta de conversão está disponível de SUSE® Security para ajudar a converter do formato CRD de versões anteriores

Em AKS, certificados de webhook criados sem SAN para k8s v1.19+

A política federada está funcionando de forma inconsistente e não como esperado Melhorar a lógica de IP de carga de trabalho não gerenciada para reduzir violações desnecessárias

As regras de Acesso a Arquivos predefinidas não estão sendo exibidas no console

Os cabeçalhos das colunas estão incorretos em várias visualizações do console, como Ativos→Registro→Resultados da Varredura do Módulo Alguns relatórios em PDF também foram afetados e foram corrigidos Outras áreas, principalmente na construção do Sonatype, foram corrigidas

Monitoramento de múltiplos clusters Visibilidade centralizada da postura de segurança de todos os clusters gerenciados, exibindo a pontuação de risco e o resumo do cluster para cada cluster na página de gerenciamento de múltiplos clusters Nota: a federação de múltiplos clusters requer uma licença separada

Adicionar suporte para faturamento baseado em uso integrado ao IBM Cloud

Aprimorar o relatório de conformidade PCI para mostrar a visualização de ativos, listando vulnerabilidades por serviço.

Adicionar um resumo do resultado da varredura antes de listar a vulnerabilidade

Suportar o banco de dados Red Hat OVAL2 necessário para a certificação do Red Hat Vulnerability Scanner

Suportar a versão beta do Red Hat OpenShift dos benchmarks CIS ('inspirado pelo CIS') Isso será finalizado quando o CIS.org publicar a versão oficial Esse recurso é suportado para implantações do OpenShift versão 4.3 ou superior

Permitir filtragem de consultas da API para verificar condições como imagens permitidas ou negadas usando chamadas da API

Adicionar suporte para o benchmark CIS Kubernetes 1.6.0

Relatar e exibir Módulos de Imagem detectados durante a varredura nos resultados da varredura Isso é mostrado em uma aba nos resultados da Varredura de Imagem e incluído nos resultados da varredura da API REST

Permitir a edição de filtros nas configurações de registro, grupo e regras de resposta através do console

Atualizar o ConfigMap para adicionar group_claim em oidcinitcfg.yaml e samlinitcfg.yaml, e Xff_Enabled em sysinitcfg.yaml

O yaml da API é atualizado para 4.2 na seção de Automação

O Enforcer não consegue ingressar em um cluster existente, às vezes levando 10 minutos em casos onde há muitos enforcers registrados Isso ocorre quando os enforcers são encerrados de forma não graciosa, mas ainda registrados para verificações de licença, impedindo que outros enforcers ingressem quando o limite de licença é atingido

Corrigido: tráfego DNS wildcard bloqueado Melhorou o cache dos resultados DNS correspondentes ao grupo de endereços DNS wildcard

Corrigir condição rara onde os certificados CRD ficam fora de sincronia para webhook e controlador

Corrigir legenda na exibição de Atividade de Rede de 'Não Gerenciados' para 'Nós'.

Nodos detectados como carga de trabalho, resultando em violações implícitas.

Melhorias no plug-in do Jenkins:

Atualizar o Helm chart para 1.7.1.

Habilitar a alternância para o encaminhamento XFF a fim de desativar o uso da política SUSE® Security, a qual está ativada por padrão. Isso está relacionado a uma função adicionada na versão 4.1.1 para adicionar suporte a cabeçalhos x-forwarded-*. Para desativar, vá para Configurações → Configuração. IMPORTANTE: Veja a descrição detalhada do comportamento do XFF-FORWARDED-FOR abaixo.

Corrigido o problema de que o CVE-2020-1938 não fosse detectado.

Corrigir erro do Gerente "Falha ao exportar configurações da seção {policy, user, config}."

Corrigir o filtro do Gráfico de Atividade de Rede que não está funcionando.

Melhorar o consumo de CPU e memória do controlador.

O plug-in do Jenkins foi atualizado para suportar scanner autônomo. Por favor, veja a seção de notas de lançamento Integrações & Outros Componentes para detalhes.

Adicionar suporte para AWS EKS AMI Release v20210112 para corrigir problemas de ulimit.

Permitir que os usuários modifiquem o modo de política ao exportar o CRD.

O suporte OIDC aceita reivindicações do endpoint /oauth/userinfo.

Suporte à atualização dos nós do cluster para permitir suporte temporário ao crescimento dos nós e migração de pods entre eles.

Gerar um relatório de uso para download a partir da página de Configuração → Configuração.

Suporte a curingas no namespace ao atribuir funções de usuário.

Melhorar a lógica de remoção de grupos e políticas. Configuração ajustável para que um grupo não utilizado seja removido com base no tempo decorrido desde seu último uso.

Permitir que o usuário configure a duração da captura de pacotes.

Adicionar suporte para a função de leitor de gerenciamento de múltiplos clusters.

O scanner autônomo agora envia o resultado da varredura usando a API REST. Veja abaixo os detalhes do Scanner.

Detectar e bloquear ataque Man-in-the-middle relatado no CVE-2020-8554.

Adicionar suporte para modelos de licenciamento medido (baseado em uso).

Remover a etapa de criação de CRDs (por exemplo, NvSecurityRule) dos arquivos yamls de implantação de exemplo para Kubernetes e Openshift. Isso não é necessário (o Controlador criará esses automaticamente). A implantação do Helm também cuidará disso.

Melhorar o consumo elevado de memória no controlador e no enforcer.

Erro retornado ao tentar configurar um filtro de registro. Permitir o uso de curingas em qualquer lugar no filtro de repositório/tag.

Política de bloqueio não funcionando como esperado. Adicionar suporte para cabeçalhos x-forwarded-*. IMPORTANTE: Veja a descrição detalhada do comportamento de XFF-FORWARDED-FOR acima como parte das notas de lançamento da versão 4.1.2.

Erro no Helm Chart ao definir o ingresso do controlador como verdadeiro.

Não foi possível criar, adicionar e salvar a regra de rede, devido ao tempo limite do gateway.

Exemplos de configmap estão faltando o campo Group_Claim. Adicionado à documentação do configmap.

Processar a violação de arquivo de controle ao encerrar o pod do controlador.

Violação de arquivo de controle ocorrendo ao encerrar o pod do Controller.

Violações implícitas para grupo de endereços criado pelo usuário que utiliza curingas em nomes de host.

Permitir que o usuário personalize o PriorityClass da implantação do gerente/controlador/aplicador/scanner. Sugerimos dar aos contêineres SUSE® Security prioridade mais alta para garantir que as políticas de segurança sejam aplicadas quando os recursos do nó estiverem sob pressão ou durante um processo de upgrade do cluster.

Criar um Helm chart separado para CRD. Isso permite que políticas de CRD sejam criadas antes que SUSE® Security serviços principais sejam implantados. Se o novo chart for usado, os recursos de CRD no chart principal, mantidos para compatibilidade retroativa, devem ser desativados com crdwebhook.enabled=false

Permitir que o usuário especifique a conta de serviço para a implantação de SUSE® Security. Anteriormente, a conta de serviço 'padrão' do namespace é utilizada. No caso em que SUSE® Security é implantado junto com outros aplicativos em um namespace, não é aconselhável usar a conta de serviço padrão do namespace para alguns usuários.

Console - na página de lista de contêineres, a seção Ativos → Contêineres deve permitir que os separadores de janela sejam arrastados para redimensionamento.

Adicionar verificações de controle de admissão para o compartilhamento do namespace do host pelos pods. Permitir que o usuário escolha impedir que o pod compartilhe os namespaces de Rede, IPC e PID do host. Veja abaixo para mais detalhes.

Capacidade de exportar a lista de contêineres em execução com privilégios ou 'runasroot'.

Em Notificações → Eventos de Segurança, habilitar a exibição de informações sobre os atributos do evento facilmente sem mudar de tela.

Problema com quadros jumbo (ativado em algumas nuvens públicas). Sintoma: o URI principal do aplicativo prometheus /graph se torna inacessível quando o grupo prometheus é colocado em modo de Proteção.

Opção de namespace ausente no filtro de vulnerabilidades. Permitir que os usuários selecionem/digitem o Namespace onde SUSE® Security está instalado como entrada de filtro.

Falso positivo na versão do OpenSSL 1.1.1c-1 afetada pelo CVE-2020-1967.

Violações inesperadas de negação implícita para grupos de endereços criados pelo usuário usando nomes de host curinga. Problemas ao usar Nome DNS (com curingas) para tráfego de gateway de segurança.

Melhorar a detecção para remover falso positivo de Injeção de SQL.

Adicionar suporte para escaneamento de imagens distroless.

Adicionar a capacidade de acionar um escaneamento de imagem única do registro com resultados disponíveis para controle de admissão.

Atualizar a integração do JFrog Xray para os novos requisitos de API / autenticação da plataforma JFrog.

Adicionar informações sobre scanners no Gerenciador, como versão e estatísticas do scanner.

Adicionar filtro rápido para excluir eventos de segurança (semelhante ao grep -v).

Atualizar a Severidade CVE para alinhar com as classificações de severidade de vulnerabilidade da NVD. Usando o maior dos escores CVSS v2 e v3, as classificações são Altas para >=7, Médias para >=4.

Suporte a implantações de scanner autônomas para escaneamento de imagens locais (não requer controlador). Adiciona novas variáveis de ambiente SCANNER_LICENSE, SCANNER_REGISTRY, SCANNER_REPOSITORY, SCANNER_TAG, SCANNER_REGISTRY_USERNAME, SCANNER_REGISTRY_PASSWORD, SCANNER_SCAN_LAYERS, CLUSTER_JOIN_ADDR, CLUSTER_JOIN_PORT.

Suporte a autocompletar namespaces para criação de usuários de namespace nas Configurações → Usuários.

Adicionar a capacidade de inserir CVEs isentos no plug-in do scanner Jenkins.

Adicionar critérios de controle de admissão para poder bloquear imagens para as quais o escaneamento não conseguiu detectar o SO (por exemplo, imagens archlinux) e, portanto, nenhuma vulnerabilidade foi encontrada. Um novo critério "Imagem sem informações do SO" foi adicionado; quando definido como verdadeiro, significa que o SO base da imagem está indisponível.

Melhorar (reduzir) o uso de memória do controlador.

Habilitar suporte para funções de webhook, como controle de admissão e CRD no Kubernetes 1.19.

Adicionar suporte para implantações apiextensions.k8s.io/v1, conforme necessário para o Kubernetes 1.19 (e suportado no k8s 1.18).

Violação inesperada da regra de perfil de processo resultante do script shell pai para o processo na lista permitida.

Adicionar suporte para filtros curinga no registro do Harbor (configurado usando a configuração do registro Docker).

Melhorar o manuseio do configmap para recarregar se a senha do administrador for revertida para o padrão. Isso é para prevenir acesso inseguro quando o sistema é recuperado de uma falha de armazenamento em nível de cluster.

Esta versão de segurança é para o SUSE® Security Gerenciador e contêineres Allinone para abordar a alta vulnerabilidade CVE-2020-14363 encontrada na camada base Alpine no pacote libx11. Como parte da atualização, a vulnerabilidade média CVE-2020-8927 também é abordada. Este problema, embora improvável de ser explorado, afeta o console do Gerenciador para SUSE® Security e não afeta as operações dos contêineres Controlador ou Enforcer.

Modelos de conformidade personalizáveis. Modelos predefinidos para PCI, GDPR, HIPAA, NIST. Cada benchmark CIS e verificação personalizada pode ser marcada com uma ou mais regulamentações de conformidade. Relatórios podem ser gerados para cada um. Riscos de Segurança → Perfil de Conformidade.

Suporte ao Fluxo de Trabalho de Gerenciamento de Vulnerabilidades. Rastrear o status das vulnerabilidades e criar políticas com base nas datas de descoberta das vulnerabilidades e outros critérios. Riscos de Segurança → Vulnerabilidades (Filtro Avançado) e regras de controle de admissão.

Auditoria de segredos. Mais de 20 verificações de segredos incluídas, e executadas automaticamente em varreduras de imagens e arquivos de recursos YAML. Os resultados mostrarão aprovação/aviso nos relatórios de conformidade sobre vulnerabilidades de imagens nos Registros de Ativos → e Conformidade de Riscos de Segurança →.

RBAC granular para SUSE® Security Usuários. Criar funções personalizadas com permissões de leitura/gravação granulares para SUSE® Security funções. Atribuir usuários a funções. Configurações → Usuários/Funções.

Pods de Scanner Escaláveis e Separados. Os pods de scanner podem ser escalados para cima ou para baixo para escanear milhares de imagens. O controlador atribui tarefas de escaneamento a cada pod de scanner disponível. Importante: o Controlador não contém mais uma função de scanner, portanto, é necessário implantar um mínimo de um pod de scanner. Além disso, os scanners 4.x NÃO são compatíveis com versões anteriores com controladores 3.x, as implantações 3.x de scanners externos devem ser atualizadas para neuvector/scanner:3.

Escaneamento sem servidor e Avaliação de Risco para AWS Lambda. Escanear funções AWS Lambda em busca de vulnerabilidades com o Plug-in Serverless IDE ou em contas AWS. As linguagens suportadas incluem Java, Python, Ruby, node.js. Realizar avaliação de risco avaliando as permissões de função IAM para funções Lambda e alertar se permissões desnecessárias estiverem habilitadas. Nota: A segurança sem servidor requer uma SUSE® Security licença separada.

Realizar verificações de conformidade durante a varredura de imagens. Também o arquivo YAML de implantação. Isso inclui setuid, setgid, CIS (executando como root, etc.), mais de 20 verificações de segredos.

Aprimorar a Pontuação de Risco de Segurança no Painel com a capacidade de habilitar/desabilitar quais Grupos contribuem para a Pontuação de Risco. Política → Grupos → Caixa de seleção pontuável. Isso inclui a capacidade de desabilitar contêineres do sistema da pontuação de risco.

Adicionado suporte para um usuário restrito de namespace ter acesso aos registros atribuídos.

Separar notificações de syslog de varredura em eventos de syslog CVE individuais.

Permitir que um usuário restrito de namespace possa criar registros que são visíveis apenas para usuários que têm acesso a esse namespace (incluindo usuários globais).

Baixar relatórios em PDF do painel por namespace. Selecionar um namespace para filtrar o relatório em PDF do painel.

O comportamento de importação do CRD foi alterado para ignorar o PolicyMode de qualquer grupo 'vinculado', mantendo o modo de política inalterado se o grupo vinculado já existir. Se o grupo vinculado não existir, ele será criado automaticamente e definido para o modo de serviços novos padrão nas Configurações → Configuração. Um grupo 'vinculado' é aquele que não foi selecionado para exportação, mas é referido por uma regra de rede, e, portanto, foi exportado junto com o(s) grupo(s) selecionado(s).

A validação da URL do registro permite URL sem prefixo de esquema de protocolo. Adicionada validação de esquema de protocolo.

As varreduras de contêiner falharam - Falha ao ler arquivos em algumas situações. Corrige o erro "Falha ao ler arquivo - erro=<nil>."

A coluna de membros do Grupo está imprecisa para o grupo especial "nodes".

Reduzir os controles de admissão (4 pontos) na pontuação geral de risco para a plataforma Docker EE, pois não são aplicáveis.

Um controlador apenas de scanner pode levar de 15 a 20 minutos para ficar pronto.

O título da distribuição de "Severidade" de riscos de segurança > Vulnerabilidades está rotulado incorretamente como Urgência.

A fonte de Eventos de Segurança Workload: a regra de entrada não corresponde. Violação implícita inesperada de Workload:Ingress na plataforma OpenShift 3.11. A lógica da sub-rede interna foi aprimorada para lidar com grandes intervalos de IP.

O Enforcer relata erro ao tentar se conectar a /var/run/docker.sock. Adicionar recuperação se a conexão for perdida.

O Scanner 4.x NÃO é compatível com os Controladores 3.2.0, 3.2.1, 3.2.2. Se você implantou scanners externos 3.x e deseja que eles continuem em execução, certifique-se de ATUALIZAR a implantação do scanner com uma tag de versão 3, por exemplo, neuvector/scanner:3. Alternativamente, você pode atualizar para 3.2.3+.

Licença necessária para habilitar a segurança sem servidor.

Novo clusterolebinding e clusterrole adicionados para Kubernetes e OpenShift

O Controlador não possui mais scanner incorporado. Você deve implantar pelo menos 1 pod de scanner.

Mudanças no arquivo YAML nos exemplos de implantação principal:

Backup da configuração em Configurações → Configuração

Crie os dois novos bindings

Defina as tags de versão para 4.0.0 para os arquivos yaml do Controller, Manager, Enforcer e aplique a atualização

Crie os pods do scanner

Crie ou atualize o cron job do scanner

Aguarde alguns minutos para que a atualização gradual dos controladores seja concluída e verifique todas as configurações após o login…​