5.x 版本发行说明

NVSHAS-6733:将响应规则导出为 CRD。

NVSHAS-9899:NeuVector 处理控制文件警报中的 Java 服务包含敏感数据。

NVSHAS-9990:采用新的用户密码哈希算法。

NVSHAS-9968:支持设置默认管理员账户的默认密码。

NVSHAS-10062:在第一次登录时，管理员密码创建失败时未显示错误。

NVSHAS-10041:通过ConfigMap配置联邦时，联邦操作失败，提示"无效数据"。

NVSHAS-10018:Neuvector未扫描GitLab Registry中的所有镜像。

NVSHAS-10017:与允许的进程相关的误报安全警报。

NVSHAS-10001:保护/监控强制措施在组删除后"残留"。

NVSHAS-9985: NeuVector（联邦主节点）对来自外部的所有请求造成问题。

NVSHAS-9981: 每当在组中添加或更改新的"处理控制文件规则"时，都会触发安全事件。

管理员账户具有不安全的默认密码

不安全的密码管理易受彩虹攻击

带有敏感参数的进程导致泄露

NVSHAS-9776:在 Helm 图表中添加 etcd 容忍。

NVSHAS-9507:OCI 容器未被扫描。

NVSHAS-9787:删除不必要的管理日志。

NVSHAS-9788:优化生成证书的算法。

NVSHAS-9789:在远程注册表配置中删除不必要的管理日志。

NVSHAS-9867:NeuVector 显示 .NET Library System.Formats.Asn1 v8.013 受影响的 CVE 2024-38095。

NVSHAS-9883: [quay.io] 通配符过滤器在 Docker 注册表中无法工作。

NVSHAS-9911:使用 REST API 扫描仓库导致 "消息" 不正确。

NVSHAS-9930:`glibc/libc-bin : 2.36-9+deb12u10` 的 CVE-2018-20796 – 误报。

NVSHAS-9933:Registry-adapter 功能（Harbor）在扫描时在目标注册表中显示错误。

NVSHAS-9934:怀疑存在零漂移功能故障。

NVSHAS-9940:NV扫描JFrog子域模式问题。

NVSHAS-9942:客户镜像的扫描失败。

NVSHAS-9945:当进程名称过长时，很难确定如何创建适当的处理控制文件规则。

NVSHAS-9946:凭证类型的准入控制警报显示存在问题。

NVSHAS-9947: [UI-ext] 合规图表在Rancher NeuVector中缺少“手动”状态。

NVSHAS-9948:升级到 5.4.3 后，NeuVector 配置已丢失。

NVSHAS-9949: [Harbor][用户/密码不正确] 即使输入了不正确的用户/密码，仍然会扫描镜像。

NVSHAS-9952:从使用报告中去除“签名”，因为NV不再发放/检查许可证密钥。

NVSHAS-9953:Pods Enforcer不断重启。

NVSHAS-9954:NeuVector Prometheus 导出器生成重复的指标。

NVSHAS-9958:网络规则执行需要很长时间。

NVSHAS-9960:扫描器无法工作。

NVSHAS-9969:致命错误：并发 map 写入导致 Enforcer 组件重启。

NVSHAS-9971:NV UI 关于 Get Bootstrap Password。

NVSHAS-9975: [Manager] 类型错误：this.mousemoveListener 不是函数，在 NV GUI 中观察到此问题。

NVSHAS-9986:在联邦策略组视图中，无法编辑或删除进程和文件访问规则。

NVSHAS-9988:UI：当存在超过 2,000 个组时，组页面不会显示所有组。

NVSHAS-9991:UI 中缺少组 nv.gatekeeper-controller-manager.openshift-azure-guardrails。

NVSHAS-9993:将 MD5 替换为 SHA256。

NVSHAS-9994:Enforcer pod 不断重启。

NVSHAS-9996:Helm 图表应允许 Enforcer pods 的非特权模式。

NVSHAS-9998:无法从 NeuVector 联邦主节点导出组。

NVSHAS-10000:将 NV 升级到 BCI 15.7。

NVSHAS-10003:当 Rancher UI 打开时，独立 NV 页面的刷新功能不起作用。

NVSHAS-10008:NVSHAS-10010: 注册表扫描 - 扫描镜像的视图菜单无法使用。

NVSHAS-10010:TCP SYN 洪水阻塞入口，导致入口流量完全被阻断。

NVSHAS-9915:在 NeuVector UI 中显示来自 Harbor 扫描器模块的扫描结果。

NVSHAS-9904:为每个组件，将 imagePullPolicy 暴露给 values.yaml。

NVSHAS-9869:UI：将 DDoS 控制移动到组面板。

NVSHAS-9840: [GCP] NeuVector 对 GCP Autopilot 的支持。

NVSHAS-9248:显示未使用的进程/网络规则及计数器和 Last Used 时间戳。

NVSHAS-8160: [Controller] 调整一些项目以计算安全风险评分。

NVSHAS-4673:建议在导出组之前添加消息。

NVSHAS-9931:如果在多集群中存在不一致的 NeuVector 产品版本，则应添加警告。

NVSHAS-9925:`/v1/scan/asset/images` API 在注册页面上的调用失败。

NVSHAS-9913:删除与 Workload:XYZ 组相关的多个网络规则时出现问题。

NVSHAS-9912:更新 Helm 关于控制器服务账户所需的一些 K8s RBAC 权限。

NVSHAS-9909:使用NeuVector Rancher NavLink时显示"已注销 - 转到加载页面"消息。

NVSHAS-9898:在联邦环境中，修改客户创建的fed.*组（例如fed.core-systems）的标准不起作用。

NVSHAS-9894: [Enforcer] Nv.protect 拒绝控制器就绪探测命令 cat /tmp/ready。

NVSHAS-9886:网络活动无法解析自定义外部组连接的域名。

NVSHAS-9884: [节点扫描][容器扫描] 扫描将失败。

NVSHAS-9873:在 NeuVector 5.4.2 中的 UI 高级过滤器搜索存在问题。

NVSHAS-9865:导出的网络策略不同，具体取决于选择的顺序（选择相同的组）。

NVSHAS-9828: [Enforcer: 处理] NeuVector Enforcer 无法检测短暂的 pod（少于 5 秒）。

NVSHAS-9783:在添加拒绝 icmp 数据包的网络策略后，NeuVector 在 Security Events 中没有看到任何警报。

NVSHAS-9176:如果拥有名称空间 rt_scan:w 权限的用户登录，则在 安全风险 > 漏洞 页面显示脚本错误。

NVSHAS-9793:在通过 ConfigMap 和 Secret 部署 NeuVector 时，允许在 LDAP/userinitcfg 中使用 Fed Global 角色。

NVSHAS-9764: [RFE] 为 "远程储存库配置" 添加对 Azure 的支持。

NVSHAS-9759:在 Ingress-Exposure 报告中添加日期详细信息。

NVSHAS-9755:请求在警报中同时显示环境变量名称和对应的值，以便于管理机密。

NVSHAS-9748: [Helm] NeuVector Helm 更新以支持 CRD 中常见组的名称引用（NVSHAS0-4717）。

NVSHAS-9426:在 Helm 图表中为 Scanner 添加 hostPath。

NVSHAS-9326:NeuVector - Harbor 可插拔扫描模块。

NVSHAS-9835:用于禁用节点自动扫描的用户界面。

NVSHAS-7997:用于 ghcr.io 的扫描器连接器。

NVSHAS-7982:从联邦主控分配 WAF 传感器。

NVSHAS-9849:NeuVector Enforcer 未向控制器注册。

NVSHAS-9847:通配符过滤器在 Docker 注册表中无法工作。

NVSHAS-9833:在 Rancher 部署中恢复配置失败。

NVSHAS-9832:使用工作负载组创建网络规则时出现问题。

NVSHAS-9821:‘Process Profit Rule Alert’ 中命令行显示的处理名称不匹配。

NVSHAS-9817:创建 NvClusterSecurityRule CRD 显示成功创建，但由于重复的处理规则条目，实际上未创建。

NVSHAS-9812:NeuVector prometheus-exporter 指标错误。

NVSHAS-9811: [管理员] 使用包含根 CA 和中间 CA 的自定义证书（CA）时无法访问 GUI。

NVSHAS-9801:FIPS 模式 + manager.env.ssl=false 导致 Manager 出错。

NVSHAS-9792:由于主体大小超过 Consul 最大值，联邦策略同步失败。

NVSHAS-9784:NeuVector 在 Jfrog 储存库扫描期间返回 404。

NVSHAS-9783:在添加网络策略以拒绝 icmp 数据包后，用户在 "安全事件" 中未看到任何警报。

NVSHAS-9780:NeuVector 单点登录在 Rancher NavLink 中无法正常工作。

NVSHAS-9777:Webhook JSON 中有重复的 "level" 键。

NVSHAS-9770:在零漂移模式下自动切换后，系统切换到了错误的策略。

NVSHAS-9765:在保护模式下，文件访问并未被完全阻断。

NVSHAS-9756:NeuVector Enforcer 达到了最大处理器使用率，并触发了多个内存压力警报。

NVSHAS-9668:RKE2 的合规性测试失败。

NVSHAS-9265:PRE PCI 环境中的漏洞扫描结果不完整且不正确。

NVSHAS-9227:注册表扫描在扫描过程中卡住并进入 "空闲" 状态。

NVSHAS-9729:在项目中部署多个具有 "相同名称" 的 statefulset 时，观察到漏洞计数不正确。

NVSHAS-9810:NeuVector 控制器未响应，用户界面无法访问。

NVSHAS-9726:监视器现在传递代理 URL。

NVSHAS-9719:宣布停用内置证书。

NVSHAS-9715:Helm Chart 值支持在控制器和 NeuVector Manager 上设置 NodePort。

NVSHAS-9710:在 漏洞 标签中包含一个可排序的 feed_rating 列。

NVSHAS-9669:通过 REST API 获取整体安全评分。

NVSHAS-9590:可以选择针对所有资产的漏洞评分。

NVSHAS-7555:在安全事件中包含“自动刷新”选项。

NVSHAS-9662:Helm chart 2.8.2中的角色/角色绑定逻辑不一致。

NVSHAS-9652:在 Splunk 中观察到 Syslog 格式存在差异。

NVSHAS-9649:容器链接在安全事件中产生 404 响应代码。

NVSHAS-9613:NeuVector Manager Pod 错误 / NeuVector Web UI 无法访问。

NVSHAS-9507:OCI 容器未被扫描。

NVSHAS-9443:通过 ArgoCD 升级/安装失败，因为无法创建 leases.coordination.k8s.io 对象。

NVSHAS-9436:可能存在针对CVE-2024-7347的CVE漏报。

NVSHAS-8386:私钥和自签名证书仍包含在多个镜像中。

[UI] 防止与 Rancher 相关的 SSO 用户禁用 OpenShift 或 Rancher 的 RBAC 认证。

NVSHAS-9751: [运行时保护] 监控模式 + 零漂移在执行子进程时未生成任何警报。

NVSHAS-9721:当用户输入错误的注册表名称时，UI 应弹出适当的错误消息。

NVSHAS-9696:漏洞页面上资产的颜色指示不一致。

NVSHAS-9686:NeuVector Helm chart 中注册表适配器证书的硬编码名称空间。

NVSHAS-9678:在 linter 更改后出现过多的错误跟踪。

NVSHAS-9670:管理器：纯文本响应中的双引号问题和 sbt 运行中的 Java 未命名库问题。

NVSHAS-9667:在控制器部署中，将 CTRL_PATH_DEBUG 环境变量设置为错误状态的方法无效。

NVSHAS-9665:文件访问规则:删除预定义规则会产生 "setRowData" 错误。

NVSHAS-9664:策略组：删除自定义脚本会产生 "setRowData" 类型错误。

NVSHAS-8583:为规则集设置细粒度策略模式，按组级别分开网络策略模式和控制文件模式。

NVSHAS-9440:支持在CRD中分开网络模式和处理与文件模式。

NVSHAS-9369:通过helm部署支持为控制器添加调试日志类别。

NVSHAS-9040:在监控模式下，当拒绝入场控制规则时，改善syslog消息。

NVSHAS-9416: [扫描器] activemq-all-5.8.0.redhat-60024.jar无法检测到任何漏洞（但之前的扫描器构建可以）。

NVSHAS-9447:控制器/扫描器 pod 崩溃 - "不支持的系统退出"。

NVSHAS-9278:在最新的扫描器镜像中发现CVE-2024-41110。

NVSHAS-9467:由pod标签定义的自定义组未在子容器上传播其控制文件数据。

NVSHAS-9442:ArgoCD 部署问题。

NVSHAS-9436:可能存在针对CVE-2024-7347的CVE漏报。

NVSHAS-9468:修复 CVE-2020-26160，将 jwt-go 替换为 jwt:v5。

NVSHAS-9517:准入控制不一致，结果不正确。

NVSHAS-9532:镜像扫描已完成，但仍不允许部署。

NVSHAS-9558:JWT 令牌过期报告 http.StatusRequestTimeout 408。

NVSHAS-9576:当用户使用 Jenkins 以控制器模式进行扫描时，清除注册数据的密码字段。

NVSHAS-9425:当容器具有 vxlan 时创建 nfq。

NVSHAS-9571: [注册表] 所有扫描的镜像过滤器工作不正常。

NVSHAS-9589:托管集群断开连接 - 与主集群版本不匹配。

NVSHAS-8824:用户无法删除自己的组，无法创建名称空间范围的组。

NVSHAS-9605:导出具有无效策略模式和处理控制文件模式值的组被错误地允许。

NVSHAS-9608:当控制器报告巨大的扫描结果（约23MB）时，扫描仪不会报告任何错误。

NVSHAS-9534:在准入控制中显示错误。

NVSHAS-9600:无法禁用控制器调试。

NVSHAS-9631:减少一些执行器错误。

NVSHAS-9645:现有的CRD处理失败。

NVSHAS-9592:尽管有新的数据库版本，但没有新的扫描。

NVSHAS-9212:如果neuvector-binding-secret角色（binding）不正确，在GET(/v1/eula)中显示警报消息。

NVSHAS-9367:当注册表无法连接时，增强错误消息。

NVSHAS-9475:当菜单折叠时，背景网格打印未完全覆盖。

NVSHAS-9485:用户界面中’网络安全策略模式’的消息不正确。

NVSHAS-9480:在 Rancher 下游集群上部署的 NV UI 在 Rancher 登出后抛出 HTTP/403。

NVSHAS-9547:安全风险 -→ 漏洞表上的排序功能已损坏。

NVSHAS-9570: [漏洞] 更改资产不同状态的图例描述。

NVSHAS-9561:仪表板的整体安全评分应与实际评分相匹配。

NVSHAS-9572: [漏洞] 无论用户在页面上刷新或重新登录，过滤后的数据都被保留。

NVSHAS-9597:当控制器对 POST(v1/group) 请求返回 403 状态码时，UI 不响应任何错误。

NVSHAS-8682:CRD webhook 服务需要从 crd helm chart 移动到应用程序 helm chart。

在 2.8.3 版本发布中，我们已将之前错误分配的资源从 crds 移动到 core。如果您同时使用 crds 和 core charts，如果您先部署 core，您可能会在升级过程中遇到问题。为了解决此问题，请先升级 crds，然后再升级 core charts。

NVSHAS-9012:在 NV UI 上显示具有相同用户名的 Rancher SSO 用户。

NVSHAS-8939:在 NV UI 上提供一个选项，以便 Rancher SSO 会话用户可以注销当前的 JWT 词元。

NVSHAS-7522:通过注册表轻松导航图像。

NVSHAS-8148:从容器镜像链接到注册表镜像扫描结果。

NVSHAS-9258:添加一个新的通知，用于过期证书和内部证书。

NVSHAS-8915:支持新的合规性过滤器和合规性报告。

NVSHAS-9403:文件监控-UI:允许用户删除预定义的文件监控规则。

NVSHAS-8423:根据配置的阈值检测组级带宽、活动会话数和会话速率违规。

NVSHAS-9218:支持联邦和CRD组进行DDoS监控。

NVSHAS-8461:支持云中托管的 K8s 服务的 CIS 基准。

NVSHAS-7664:在注册表扫描期间减少 ISP 数据费用。

NVSHAS-8868:扫描器缓存统计信息暴露。

NVSHAS-8676:针对基准脚本的NV保护改进。

NVSHAS-9255:可自定义准入控制中用于没有 FQDN 的镜像名称的搜索注册表。

NVSHAS-9144:为漏洞配置文件添加了 ID，以便于识别。

NVSHAS-7687:支持从CLI配置强制器和控制器的日志级别（调试/错误/信息/警告）。

NVSHAS-7518:更改SUSE® Security组件的内部证书。

NVSHAS-9287:启用内部证书轮换。

NVSHAS-8562:添加内部证书到期通知。

NVSHAS-8486:支持 Multus 网络接口。

NVSHAS-7447:Rancher RBAC 与 SUSE® Security 的集成。

NVSHAS-7822:无需脚本 API 调用的联合自动化。

NVSHAS-8799:创建一个合规框架以导入合规模板。

NVSHAS-8773:在初始部署期间支持引导密码。

NVSHAS-6740:通过在保护模式下强制执行学习列表来改善零漂移基线配置文件。

NVSHAS-8325:强制网络规则的容器名称空间边界。

NVSHAS-8723:归档云计费数据。

NVSHAS-9086:通过消除vulTrait数据结构来减少控制器进程的内存使用。

NVSHAS-6979:能够在警报内容中包含响应规则的评论。

NVSHAS-8845:创建具有 FedReader 和 FedAdmin 角色的 APIKEY。

NVSHAS-9306:准入控制配置评估显示负责允许或拒绝部署的规则 ID。

NVSHAS-9078:支持 OCI 镜像的签名。

NVSHAS-7945:支持 Kubernetes 的 DISA STIG 基准。

NVSHAS-8234:准入控制逻辑允许本应被拒绝的镜像。

NVSHAS-9005:注册表中的类型错误：无法读取未定义的属性（读取 'total_records'）。

NVSHAS-9085:资产视图 PDF 报告显示，即使存在漏洞，其漏洞百分比仍为 0%。

NVSHAS-9084:资产视图 PDF 报告在镜像列表为空时显示 NaN。

NVSHAS-9128:安全事件：如果没有工作负载的名称空间值，则无法显示容器。

NVSHAS-9025:Neuvector 漏洞接受范围适用于容器。

NVSHAS-9155:注册表扫描镜像列名不正确且缺少文件名。

NVSHAS-9122:使用 Rancher SSO 登录 "Multiple Cluster" 时，Neuvector 主节点会在任意时刻注销。

NVSHAS-9266:注册表扫描：当没有漏洞时，按层扫描报告按钮应隐藏或禁用。

NVSHAS-9219:允许用户为认证服务器启用服务器证书验证。

NVSHAS-9246:CSV/PDF 导出过滤功能无法使用。

NVSHAS-8947:通过 Rancher SSO 认证时无法导入 NV 配置。

NVSHAS-9282:UI：编辑 OpenShift 注册表条目因缺少词元而失败。

NVSHAS-9098:增强风险页面加载用户体验。

NVSHAS-9267:由于 REST API 更改，不允许 5.4 主集群的 UI 切换到预 5.4 管理集群。

NVSHAS-9285:UI：下拉列表按钮与其他元素重叠。

NVSHAS-9302:无法使用角色 FedReader 和 FedAdmin 创建 APIKEY。

NVSHAS-8539:重新配置代理设置会丢失密码。

NVSHAS-9293:在漏洞报告中移除不相关的图像细节。

NVSHAS-9238:UI 在更改后未刷新显示的集群名称。

NVSHAS-9363:通知配置 > Webhooks 网格未正确对齐。

NVSHAS-9362:安全风险漏洞过滤器返回 0 个结果。

NVSHAS-8699:如果 Rancher AD 用户相同，则无法区分用户。

NVSHAS-9062:在 NV UI 上显示具有相同用户名的 Rancher SSO 用户（控制器上的转换）。

NVSHAS-9071:某些模块只在容器扫描中未被报告。

NVSHAS-8242: gRPC调用以测试控制器是否处理关键严重性。

NVSHAS-8908:正确解析X-Forwarded-Port，考虑到逗号分隔符。

NVSHAS-9024:AdmissionControl风险角色性能。

NVSHAS-9091:在 repo、registry 和独立扫描中，无法报告来源于 ol:9.1、photon:5.0、rhel:9.1 以及 amzn:2023 的所有模块。

NVSHAS-8997:大幅减少每个节点的策略插槽数量以提高性能。

NVSHAS-9059:即使从K8s中删除，CRD组在NV中仍然可见。

NVSHAS-9107:在rest.handlerConfigLocalCluster处发生Goroutine崩溃。

NVSHAS-9108:端口18500不应开放。

NVSHAS-9119:在probe.(*FileNotificationCtr).AddContainer()处发生Goroutine崩溃。

NVSHAS-9125:具有无效设置的CRD条目不应被允许创建。

NVSHAS-9124:Docker：报告了许多意外的健康检查进程事件。

NVSHAS-9111:NV 应该检查 --event-qps > 0。

NVSHAS-9130:在特定容器启动后发现意外的 Container.Package.Updated 事件。

NVSHAS-9080:Fed reader 用户无法访问某些 REST API。

NVSHAS-9092:命名空间用户不应看到全局资产。

NVSHAS-9116:如果连接中断，工作集群可以离开。

NVSHAS-8980:在 oc 4.15 中成功获取节点的主机和隧道接口。

NVSHAS-9188:将 mgmt-br 接口设置为 Harvester 节点的主机接口。

NVSHAS-4858:不在控制器中展开容器组，以提高策略部署性能并减少处理器和内存使用。

NVSHAS-8700:Rancher AD 用户有时无法登录到 SUSE® Security。

NVSHAS-9121:组的网络监控阈值设置无法编辑。

NVSHAS-9189:在控制器关闭并重新启动后，扫描将卡在调度中。

NVSHAS-9019:修复主机接口的链接状态不同步问题。

NVSHAS-8305:移除内置证书。

NVSHAS-9013:在进程监视器上移除BPF过滤器。

NVSHAS-7853:TLS握手EOF。

NVSHAS-9290:用户添加的进程控制文件规则在启用ZD时未生效。

NVSHAS-9301:部署在Rancher Prime上的NV无法识别其Rancher版本。

NVSHAS-9289:当缺少RBAC时允许升级。

NVSHAS-7601:改进在场景中从 PV 配置备份中恢复的过程。

NVSHAS-7687:为执法者添加syslog级别设置。

NVSHAS-9292:修复 Ingress Egress 暴露显示 0 个漏洞。

NVSHAS-9270:支持 k3s 的 CIS 基准管道。

NVSHAS-9338:警报 '托管集群 [id] 与主节点断开连接'。

NVSHAS-9358:使用代理的镜像扫描将失败。

NVSHAS-9337:当检测到 SYN 洪水时发送日志消息。

NVSHAS-9209:当命名空间从 k8s 中删除时删除域缓存。

NVSHAS-8985:控制器重启后，联邦注册表消失。

NVSHAS-9443:通过 ArgoCD 升级/安装失败，因为无法创建 leases.coordination.k8s.io 对象。

解决方法：在使用 ARGO CD 升级到 5.4.0 之前创建给定的租约对象。如果名称空间与 neuvector 不同，请更改名称空间。

cat <<EOF | kubectl apply -f -
apiVersion: coordination.k8s.io/v1
kind: Lease
metadata:
  name: neuvector-controller
  namespace: neuvector
spec:
  leaseTransitions: 0
---
apiVersion: coordination.k8s.io/v1
kind: Lease
metadata:
  name: neuvector-cert-upgrader
  namespace: neuvector
spec:
  leaseTransitions: 0
EOF

通过 OpenShift CLI v4.15 成功检索到 host 和 tunnel 接口。

IP 范围 169.254.x.x 被排除在主机接口 IP 之外。

在执法者启动 1 分钟后重新检查主机接口。

修复了 OpenID 发行者 URL 正则表达式失败的问题。

修复以下 CVE：

允许用户在 Admission Controls 页面上阻止使用特定存储类。

LDAP Authentication 提供了单独的字段用于 baseDN 和 groupDN 的配置。

Egress and Ingress chart 有一个新的漏洞列，其中包含每个服务的 High 和 Medium 漏洞计数。

修复了在多条目 regex 中使用逗号 (,) 时与 Admission Control user criteria 相关的错误。

修复了 jar 软件包的 CVE 扫描未显示同一 CVE 影响的所有软件包的问题。现在所有出现的情况都已报告。

修复以下 CVE：

允许用户在使用 Helm 图表安装 SUSE® Security 时为 updater-cron-job 设置资源。

Prometheus 导出器容器版本已审查并与 controller 版本分离。

（扫描仪）在 Ubuntu 和 Red Hat Enterprise Linux 中检测 R 包/模块。

（扫描仪）添加对 PHP Composer 扫描的支持。

从之前的 SUSE® Security 版本升级到 v5.3.1 后，现有的 NvClusterSecurityRule 自定义资源可能会被意外删除。注意：为了防止升级问题，5.3.1 版本已从 Docker Hub 中移除。

允许用户在使用 Github Actions 时定义 ‘accepted’ 漏洞，以免影响工作流。

在资产 > 注册表 > 镜像漏洞视图中添加严重性、评分级别和源评级过滤器。

在配置注册表时允许选择是否应使用定义的代理进行注册表镜像扫描。

安全风险 > 漏洞 > 高级过滤器未能过滤 'CVE without Fix'。

容器到主机模式容器的意外违规。

在切换到 Docker API 1.24 时接受 OCI 镜像格式。

注册表扫描不应扫描非镜像工件 / 不记录错误。

允许在没有互联网或 sigstore 依赖的情况下进行无根密钥对镜像签名验证。

特定节点中的网络规则未允许安全事件（与 "Container Task chan full" 错误消息相关）。

容器无法成功添加到工作负载中（频繁发生）。由于通道消息导致的死锁。

更新 Jenkins、GitHub Actions 和 Bamboo 的扫描插件。

（扫描器）在切换到 Docker API 1.24 时接受 OCI 镜像格式。

（扫描器）注册表扫描不应扫描非镜像工件 / 不记录错误。

（扫描器）添加对 PHP Composer 扫描的支持。

安装 SUSE® Security 后，通过 Rancher 启用/安装 的 SUSE® Security UI 扩展将显示集群仪表板，其中包含指向完整 SUSE® Security 集群 SSO 的链接。注意：该扩展可能显示为第三方，这将在未来的版本中修复。此外，安装后，Rancher 2.7.x 用户可能会在列表中看到两个 SUSE® Security UI 扩展图标（错误）。一个图标将显示为卸载（表示已安装），另一个应显示为安装。这可以保持不变，即如果扩展已安装，则不要再次安装。

在仪表板（出口）、PDF 和 CSV 报告中显示外部目标 URL（FQDN），以及在网络活动屏幕和安全事件（违规）列表中

在发现模式下，自动学习外部 FQDN 地址组的出口。除非外部连接匹配现有规则，否则将创建一个新的外部 FQDN 自定义组。

通过新的控制器环境变量 CTRL_EN_ICMP_POLICY = 1 启用 ICMP 学习（发现模式）和阻止（保护模式）。

将 CRD 导出到 Github，以支持使用控制台或 REST API 的 gitops 到默认仓库。

支持与 ADFS iDP 的 SAML SSO 单点注销。

添加对 ARM64 平台的支持。从基于 ARM 的平台拉取将自动拉取适当的 ARM64 SUSE® Security 镜像。

通过代理支持 webhook。

改进准入控制审计功能，以包括所有规则的结果。列出每个规则的结果，并为在实时准入控制部署中评估时将发生的最终操作添加另一个条目。

通过 CRD 或 yaml（kubectl）应用禁用的准入控制规则。

通过控制台、CRD或REST API导出/导入漏洞配置文件。导入将替换现有的配置文件。删除CRD将导致配置文件为空。

通过控制台、CRD或REST API导出/导入合规性配置文件模板。导入将替换现有的模板。

在合规性报告中为必须由用户手动运行的CIS基准添加“手动”状态（不是由 SUSE® Security 运行）。

改善漏洞页面的UI加载/性能。

统一浏览器会话登录。这样，浏览器中的所有标签共享相同的登录会话，从现有会话打开新标签时不需要输入凭据，当一个标签注销时，所有标签都将注销。

增强控制台（UI）的安全性：1）添加强制安全头（X-Content-Type-Options nosniff；X-XSS-Protection 1；模式=阻止；X-Frame-Options SAMEORIGIN；Cache-Control 私有，无缓存，无存储，必须重新验证 HTTP严格传输安全最大年龄=15724800，2）添加CSP头（例如，设置一个 ‘default-src’ 指令），3）删除服务器名称泄露。

支持更新版本的CIS基准。Kubernetes（1.8.0），Kubernetes V1.24（1.0.0），Kubernetes V1.23（1.0.1），RedHat OpenShift容器平台（1.4.0）。

在资产 → 中的容器 → 详情页中，显示在注册表和运行时扫描到的容器。

在安全风险 → 漏洞 → 影响弹出窗口中添加指向组的链接，以便轻松编辑组模式。

支持通过 URL 深度链接到镜像和/或容器漏洞页面。

为管理员添加密码重置选项，以在控制台设置 → 用户中重置用户密码

允许在设置 → 配置 → 通知中将事件日志发送到控制器 pod 日志。发送的事件将以 'notification=' 开头，并仅保存到主控制器 pod。请注意，此版本存在一个错误，必须启用 SYSLOG 才能更改事件级别（在更改级别后可以禁用）。

去除控制器/执行者挂载"/host/cgroup"的要求。

添加获取支持菜单，链接到 Slack、文档和其他资源

将消息字段填写到 /v1/log/activity logs。

安全风险 → 漏洞中出现内部服务器错误，并涉及大量 CVE。

SIGSEGV：控制器上的段错误

删除易受攻击的文件（例如 jar）不会从漏洞列表中去除。

使用签名算法 SHA256withECDSA 的无效 Syslog 证书

SUSE® Security 显示应由网络规则允许的安全事件

未管理的节点上运行 "僵尸" 执行者

高级过滤器显示修复和影响字段为空

修复字符串处理以防止意外的执行者重启

与内置组相关的意外违规

支持包执行者调试 RPC 调用的数据返回错误

组在安全事件中不匹配

发送事件到 Slack 不工作 - 使用代理

显示允许网络规则的安全事件

向 Helm 图表添加运行时容器引擎（套接字）自动检测

在 Helm 图表中去除以特权模式运行控制器的设置，以及控制器/执行者挂载 "/host/cgroup" 的要求。

示例 Kubernetes 部署文件已从 SUSE® Security 文档中移除。请参考链接以获取示例。

容器运行时（套接字）的自动检测消除了指定容器运行时和套接字路径的需要。

去除以特权模式运行控制器的要求，消除了挂载运行时套接字和挂载 /host/cgroup/ 的需要。

在 yaml 中为 neuvector-binding-secret 和 neuvector-secret 添加了角色/角色绑定。

5.3 需要新的服务帐户和角色绑定

所有引用的部署 yaml 文件现在在其路径中都有 /5.3.0/

修复 openssl 中的 CVE-2023-6129，以及 curl 中的 CVE-2023-46219、CVE-2023-46218。

Azure AKS ValidatingWebhookConfiguration 更改和错误日志记录。

在扫描仪中添加对 NVD API 2.0 的支持。

在扫描仪独立模式下扫描容器主机。

由于死锁的 docker cp / grpc 问题，节点上的扫描失败。

更新软件包以修复包括高危 CVE-2023-38545 和 CVE-2023-43804 在内的 CVE。

通过在部署和升级时自动生成用于签署 JWT 令牌的证书，以及在基于 Helm 的部署期间自动生成管理/RESTful API 证书，来修复 CVE-2023-32188 “JWT token compromise can allow malicious actions including Remote Code Execution (RCE)”。

在自定义合规脚本上添加额外的控制。默认情况下，现在不允许添加自定义脚本，除非将环境变量 CUSTOM_CHECK_CONTROL 添加到 Controller 和 Enforcer。值为"disable"（默认，不允许）、"strict"（仅限管理员角色）或"loose"（管理员、合规和运行时策略角色）。

防止 LDAP 注入 - 用户名字段已转义。

向通过 SYSLOG 发送的 CVE 结果添加额外的扫描数据，以进行分层扫描。

支持 NVD API 2.0 以扫描 CVE 数据库。

在资产 → 容器详细信息中提供容器镜像构建日期。

调整网络规则的排序：在网络规则视图中禁用排序，但在组视图中启用网络规则的排序。

使用环境变量 THRT_SSL_TLS_1DOT0、THRT_SSL_TLS_1DOT1 启用/禁用 TLS 1.0 和 TLS 1.1 检测/警报。默认已禁用。

为 Controller 和 Enforcer 添加环境变量 AUTO_PROFILE_COLLECT，以帮助在调查内存压力事件时捕获内存使用情况。将值设置为 1 以启用。

针对准入控制的配置评估应通过一次扫描显示所有违规情况。

在响应规则中添加更多 CVE 报告标准选项。示例 1 - "cve-high-with-fix:X" 的意思是：当（已修复的高危漏洞数量）>= X 时，触发响应规则。示例 2 - "cve-high-with-fix:X/Y" 的意思是：当（报告于 Y 天前且已修复的高危漏洞数量）>= X 时，触发响应规则。

组策略的导出不返回任何实际的 YAML 内容。

通过专用功能改善名称空间的修剪。

SUSE® Security 名称空间用户无法查看资产—​名称空间

如果 CR 的名称空间已被删除，则跳过处理 CRD 创建/更新请求。

为部分在名称空间删除后无法成功修剪的 CRD 组提供解决方法。

在 SYSLOG 消息中报告分层扫描结果和额外的 CVE 数据。通过设置中的复选框启用此功能 → 配置 → SYSLOG。

在导出的 CSV 合规报告中导出 NIST 800-53 映射（到 docker CIS 基准）。

在镜像签名验证中支持代理设置。

在下载的 CVE 报告中包含镜像签名扫描结果。

支持通过自定义条件为准入控制策略添加 pod 注释。

添加最后修改字段以过滤漏洞报告打印，以及在漏洞视图中的高级过滤器

在初始 SUSE® Security 部署中，不要使用默认密码创建默认管理员（CSP 适配器）以进行 AWS 计费，要求用户使用密钥创建管理员用户名和密码

修复 .json 文件，该文件增大了大小并导致 Kubernetes 节点崩溃

改进 SQL 注入检测逻辑

在安装 SUSE® Security 核心图表之前，首先安装 helm crd 图表时，服务帐户缺失

图像扫描 I.4.1 合规性结果不正确。

漏洞高级过滤报告显示来自所有其他名称空间的图像。

支持 SUSE® Security API 访问的词元。请查看设置 → 用户，API 密钥 …​ 以创建新的 API 密钥。密钥可以设置为默认或自定义角色。

支持 AWS Marketplace PAYG 计费的 SUSE® Security 月度支持订阅。用户可以通过 SUSE 支持订阅 SUSE® Security，按月计费到他们的 AWS 账户，基于上个月的平均节点使用量。有关更多信息，请参阅 AWS marketplace。

支持准入控制的图像签名。用户可以要求 SUSE® Security 验证图像是否由特定方签名，才能部署到生产环境中，通过与 Sigstore/Cosign 的集成。请查看资产 → Sigstore 验证器以创建新的签名资产。然后可以使用图像签名和/或图像 Sigstore 验证器的标准创建规则。

启用每个准入控制规则具有其自己的监控或保护模式。在监控模式下，拒绝操作将发出警报，而在保护模式下，拒绝操作将阻止。允许操作不受影响。

在策略 > 准入控制 > 为用户和用户组添加规则中添加新的正则表达式操作符以支持正则表达式。支持操作符 "匹配任何正则表达式" 和 "不匹配任何正则表达式"。

添加对资源限制等准入控制标准的支持。为资源限制添加了新的标准，并通过自定义标准设置支持其他标准。

支持通过 可插拔扫描器 接口从 Harbor 注册表调用 SUSE® Security 扫描器。这需要配置与控制器的连接（公开的 API）。Harbor 适配器调用控制器端点以触发扫描，该扫描可以在推送时自动进行。可以使用询问服务进行定期扫描。来自联邦主控制器的扫描结果会传播到远程集群。 注意：HTTPS 适配器端点存在错误：请忽略测试连接错误，虽然显示错误，但实际上仍能正常工作（跳过证书验证）。

可搜索的 SaaS 服务用于 CVE 查询。搜索最新的 SUSE® Security CVE 数据库，以查看特定 CVE 是否存在于数据库中。该服务可供 SUSE® Security Prime（付费支持订阅）客户使用。通过您的 SCC 门户联系支持以获取访问权限。

允许用户禁用网络保护，但保持 WAF/DLP 功能正常。在设置 → 配置中配置网络策略启用。

根据每个 SUSE® Security 组件的要求使用权限较低的服务帐户。引入了一个变量 “leastPrivilege”。默认值为 false。注意：在 5.2.0 之前的版本中使用当前的 helm chart 和此变量将无法正常工作。

绑定到非默认服务帐户以满足 CIS 1.5 5.1.5 的建议。

允许管理员在设置 → 用户、API 密钥和角色中配置用户默认会话超时。

可自定义的登录横幅和可自定义的 UI 头部文本，适用于受监管和政府部署。配置要求可以在这里找到。

SYSLOG 支持 TLS 加密传输。在设置 → 中选择 TCP/TLS 配置 SYSLOG。

从 Rancher Manager 启用 SUSE® Security 监控器 Helm 图表的部署。

在注册表扫描的URL验证器中移除顶级域的上限。

扫描 Golang 依赖项，包括运行时扫描。

支持 Debian 12（Bookworm）漏洞扫描。

为注册表/详细信息添加 CSV 导出，以导出配置注册表中所有镜像的 CVE，位于资产 → 注册表中。

允许 SUSE® Security 在 x.509 证书字段中并行设置多个 ADFS 证书。

为响应规则添加并显示评论字段。

通过环境变量指定SUSE® Security认为的系统容器。例如，对于 Rancher 和默认名称空间：NV_SYSTEM_GROUPS=*cattle-system;default

添加对 Kubernetes 1.27 和 OpenShift 4.12 的支持。

减少执法者/控制器日志中的重复日志。

多个集群页面未能渲染。

根据计划，空组自动删除需要2小时，而不是1小时。

手动允许的网络规则未能应用，导致暂停镜像的违规。

即使网络规则允许在某些初始条件下的流量，也会阻止SSL连接。

由于同步中的策略更新问题，即使有允许的网络规则，安全事件仍会发出警告。

网络活动错误地将自定义组流量关联到外部。

每个 Pod 中挂载的名称空间的默认服务帐户词元权限过高。

尽管定义了网络规则，但当容器因内存不足（OOM）错误停止时，违规行为仍会记录在安全事件中（误报）。

允许用户在集群中禁用/启用对未管理容器的检测和保护。可以通过管理 CLI 设置：

在 Helm 图表中添加 "leastPrivilege" 设置。为 New_Service_Profile_Baseline 添加 Helm 选项。为 5.2 发布了新的 Helm 图表（核心）版本。

在 Helm 图表中启用 AWS Marketplace（计费适配器）集成设置。

更新 configmap 以支持新功能（多个 ADFS 证书、零漂移、New_Service_Profile_Baseline、SYSLOG TLS、用户超时）。

将支持的 Kubernetes 版本更新为 1.19+，OpenShift 4.6+（1.19+ 使用 CRI-O）。

添加新的漏洞信息源以扫描 Microsoft .NET 框架。

为提高可伸缩性，Prometheus 导出器默认禁用执法者统计信息。

可用性改进：使用扫描器扫描单个镜像并打印结果（见下例）。

在准入控制规则标准中添加 imagePullPolicy 检查。

当 CRD 架构过时时显示警告消息。

网络活动屏幕未正确渲染或渲染不正确。

根据计划，空组自动删除需要2小时，而不是1小时。

合规性控制文件未在 UI 控制台中显示。

安全事件中的高级过滤器缺少 "错误" 级别。

保存的带有特殊字符的密码在未来的身份验证尝试中失败。

当请求量高时，多个集群页面无法正确渲染。

注册表详细信息（底部）窗格未更新。

支持基于虚拟主机的地址组和策略匹配网络保护。这使得一个用例成为可能，其中两个不同的 FQDN 地址解析为相同的 IP 地址，但每个 FQDN 应强制执行不同的规则。可以使用 ‘address=vh:xxx.yyy’ 指示符创建一个新的自定义组 ‘vh:’ 以启用此保护。然后，网络规则可以使用自定义组作为 ‘From’ 源，基于虚拟主机名（而不是解析的 IP 地址）来强制执行虚拟主机的不同规则。

合规容器列表以排除已退出的容器。

增强 DLP 规则以支持模式中的简单通配符。

添加对 cri-o 1.26+ 和 OpenShift 4.11+ 的支持。

使 gravatar 可选。

在控制台/UI 中显示集群名称空间资源。

在控制台中显示源严重性/分类（例如，Red Hat，Ubuntu…​）以及 NVD 严重性评分。

如果用户通过 SSO 进行身份验证，则不允许禁用 Rancher 和 OpenShift 的 SSO/RBAC。

向 configMap 添加自动扫描启用和对未使用组老化后删除的支持。

在 csv/pdf 中包含外部源/目标的 IP 地址以便于隐式拒绝违规。

对控制器和执法者的处理器和内存使用进行各种性能和可伸缩性优化。

修复 GKE 容器优化操作系统（COS）节点在保护模式下的应用程序缓慢问题。

SUSE Linux（SLES）15.4 CVE 在扫描器中不匹配。通过此修复，如果在源中提供了严重性，则即使缺少 NVD 记录，漏洞也将被添加到数据库中。报告中可能包含没有 CVE 分数的漏洞。

增强 Helm https://github.com/neuvector/neuvector-helm/pull/237. 中的准入控制 CRD 选项

向 Helm 图表添加新的执法者环境变量。

将 “package” 作为信息添加到检测到的漏洞的 syslog 事件中。

添加执法者环境变量 ENF_NETPOLICY_PULL_INTERVAL - 以秒为单位的值（推荐值 60），以减少由于策略更新/重新计算而导致的网络流量和资源消耗。（注意：这是一个未记录的添加，直到 2023 年 8 月）。

空组删除错误 "对象未找到"

同一容器内的流量警报/阻止

对于已设置允许规则的 Istio 出口流量，出现意外的隐式违规

从 SUSE® Security 4.x 版本升级时，错误的 pod 组成员导致意外的策略违规

当请求中出现额外编码字符时，OIDC 认证在 ADFS 中失败

由于创建和删除 Pod，dp 的内存使用量高

更新 Alpine 以修复多个 CVE，包括管理器：CVE-2022-37454，CVE-2022-42919，CVE-2022-45061，CVE-2021-46848；执法者：CVE-2022-43551，CVE-2022-43552

修复了各种 UI 错误

更新 Helm 图表以启用内部通信证书的替换

集中式多集群扫描 (CVE) 数据库。主集群可以扫描指定为联邦注册表的注册表/仓库。来自这些注册表的扫描结果将同步到所有受管（远程）集群。这使得在受管理集群控制台中显示扫描结果成为可能，并且可以在受管理集群的准入控制规则中使用这些结果。注册表只需扫描一次，而不是每个集群都扫描，从而减少 CPU/内存和网络带宽的使用。

增强准入控制规则：

添加新的环境变量 NO_DEFAULT_ADMIN，当启用时不创建 'admin' 用户。这用于 Rancher SSO 集成作为默认设置。如果未启用，持续警告用户并记录事件以更改默认管理员密码（如果未更改）。

在登录失败后阻止登录现在成为默认设置。默认值为 5 次尝试，并可在设置 → 用户与角色→ 密码配置中进行配置。

添加用于性能调优的新环境变量 ENF_NO_SYSTEM_PROFILES，值："1"。启用时，将禁用进程和文件监视器。将不会执行学习过程、控制文件模式、进程/文件（软件包）事件以及文件活动监视。这将减少 CPU/内存资源使用和文件操作。

为扫描器 pod 添加自定义自动扩展设置，值为延迟、立即和禁用。重要说明：当扫描器与OpenShift操作员一起部署时，不支持扫描器自动扩展，因为操作员将始终将实例数更改为其配置值。

自定义组现在能够使用名称空间标签，包括 Rancher 的名称空间标签。通常，pod 和名称空间标签现在可以添加到自定义组。

添加在网络活动视图中隐藏选定名称空间和组的功能。

对 Cilium cni 的全面支持。

全面支持 OpenShift 4.9 和 4.10。

构建工具现在可用于 SUSE® Security/Open Zero Trust (OZT) 项目，地址为 https://github.com/openzerotrust/openzerotrust.io.

SUSE® Security 现在列出了控制器、管理器和执法者每个版本的版本 ID 和 SHA256 摘要，地址为 https://github.com/neuvector/manifests/tree/main/versions.

匿名遥测数据（节点数、组、规则）现在在部署时报告给 Rancher 云服务，以帮助项目团队了解使用行为。可以在 UI 中或通过 configMap (No_Telemetry_Report) 或 REST API 禁用此功能（选择退出）。

（附录 2023 年 1 月）。支持基于 ServiceEntry 的网络策略，与 Istio 配合使用。在版本 5.1.0 中，为通过 Istio 声明的 ServiceEntry 目标的 Pod 添加了出站网络策略强制执行功能。通常，ServiceEntry 定义了如何将通过 DNS 名称引用的外部服务解析为目标 IP。在 v5.1 之前，SUSE® Security 无法检测和强制执行对 ServiceEntry 的连接规则，因此所有连接都被归类为外部。在 5.1 中，可以对特定的 ServiceEntry 目标强制执行规则。重要说明：如果您正在使用基于 Istio 的部署升级到 v5.1，则必须创建新规则以允许这些连接并避免违规警报。升级后，如果不存在允许规则，将报告隐式违规的新可见流量。新的流量规则可以在发现模式下学习和自动创建。要允许此流量，您可以将组置于发现模式，或创建一个包含地址（或 DNS 名称）的自定义组，并为该目标添加新的网络规则以允许流量。注意：在 5.1.0 中，拒绝违规报告的目标存在一个错误，该目标并不代表正确的目的地。 该错误报告服务器名称和客户端名称相同。 此问题将在即将发布的补丁中解决。

减少控制器在滚动更新期间因创建不必要的 CIS 基准数据而导致的内存消耗。此问题在新部署中不会发生。

从配置屏幕中移除许可证（不再需要）。

更新 Alpine 软件包以修复 curl 中的 CVE，包括 CVE-2023-23914、CVE-2023-23915 和 CVE-2023-23916。

dpMsgConnection 中的高内存使用率

如果有许多学习的策略规则与未管理的工作负载（内存泄漏），则执法者中的 dp 进程会出现高内存使用率。

在容器上嗅探流量时，tcpdump 无法成功启动

更新 Alpine 以修复多个 CVE，包括管理器：CVE-2022-37454，CVE-2022-42919，CVE-2022-45061，CVE-2021-46848；执法者：CVE-2022-43551，CVE-2022-43552

升级到 5.0.x 会导致关于管理器、控制器、执法者运行不同版本的错误消息。

执法者经历 go 例程恐慌，导致 dp 被终止。 WebUI 不显示执法者为在线状态。

在 coreos 上执行命令的 NV.Protect 组中出现了意外的 Process.Profile.Violation 事件。

更新 Alpine 以删除管理器 expat 库中的关键 CVE-2022-40674，以及其他次要 CVE。

添加对 Antrea CNI 的支持

修复 NV.Protect 组中意外的 process.profile.violation 事件。

当管理器 UI 访问上禁用 SSL 时，用户密码会打印到管理器日志中。

在从持久卷成功重启后，不显示 EULA。

在漏洞控制文件设置中使用镜像过滤器以跳过容器扫描结果。

在 https://github.com/neuvector/neuvector-image-scan-action. 的 GitHub Actions 中支持扫描仪

添加执法者环境变量以禁用秘密扫描和运行 CIS 基准测试。

执法者偶尔无法启动。

多集群联合环境中的连接泄漏。

合规页面在安全风险 → 合规中有时无法加载。

支持加固的Rancher和SELinux集群。

在 k3s 系统上，代理进程的 CPU 使用率较高。

升级到5.0后，AD LDAP组无法正常工作。

执法者因错误=打开的文件过多（rke2/cilium）而不断重启。

支持日志无法成功下载。

支持对openSUSE Leap操作系统的漏洞扫描（在扫描器镜像中）。

扫描器：在重建镜像库时实现清除属性。

验证 SUSE® Security 部署并支持启用了 SELinux 的主机。请参见下面有关临时修补程序的详细信息，直到 Helm 图表更新。

为 Rancher Helm 图表中的 Traefik 优化了 Ingress 注解。更新配置以确保后端通信正确使用HTTPS方案（例如，通过 traefik.ingress.kubernetes.io/service.serversscheme: https）。

当前的 OpenShift Operator 支持 API 和联合服务的直通路由。添加了额外的 Helm 值参数以支持边缘和重新加密路由终止类型。

AKS 集群可能在准入控制 Webhook 中添加意外密钥。

在使用 1.64 containerd 容器运行时的 k8s 1.24 集群上，执法者未能正常运行。另外，执法者有时无法启动。

任何具有管理员角色的用户（本地用户或SSO）在将集群提升为fed master时，应自动提升为fedAdmin角色。

当SSO使用Rancher默认管理员登录到SUSE® Security的主集群时，SUSE® Security的登录角色是admin，而不是fedAdmin。

修复多个goroutine崩溃。

主机IP未与节点关联的隐式违规。

ComplianceProfile 未显示 PCI 标签。

LDAP组映射有时未显示。

风险审查和改进工具将导致错误信息"无法更新系统配置：请求格式错误"。

OKD 3.11 - 即使集群角色存在，也会显示错误。

在所有镜像中，ncurses 软件包中发现高风险的 CVE-2022-29458。

在 Updater 镜像中，curl 软件包中发现高风险的 CVE-2022-27778 和 CVE-2022-27782。

组模式的自动推广功能。根据经过的时间和标准提升组的保护模式。不适用于由CRD创建的组。此功能允许新应用程序在发现模式下运行一段时间，学习行为并为网络和进程SUSE® Security创建白名单规则，然后自动转到监控模式，再到保护模式。从发现到监控的判定标准：在组中至少一个活动 pod 的所有网络和进程活动的学习耗时。从监控到保护的判定标准：在为该组设置的时间范围内没有安全事件（网络、进程等）。

支持Rancher 2.6.5应用程序和市场图表。部署到 cattle-neuvector-system 名称空间，并启用从 Rancher 到 SUSE® Security 的 SSO。注意：必须完全去除来自 Rancher 的先前部署（例如，合作伙伴目录图表，版本 1.9.x 及更早版本），才能更新到新图表。

支持扫描SUSE Linux（SLE，SLES）和Microsoft Mariner。

零漂移进程和文件保护。这是进程和文件保护的新默认模式。零漂移自动仅允许来自原始容器镜像中的父进程的进程，并不允许文件更新或安装新文件。在发现或监控模式下，零漂移会对任何可疑的进程或文件活动发出警报。在保护模式下，它将阻止此类活动。零漂移不需要学习或添加进程到允许列表。为一个组禁用零漂移将导致该组列出的进程和文件规则生效。

网络、进程/文件的分离策略模式保护功能。现在在设置→配置中有一个全局设置，可以单独设置网络保护模式以执行网络规则。启用此功能（默认禁用）会使所有网络规则处于所选的保护模式（发现、监控、保护），而进程/文件规则保持该组的保护模式，如策略→组屏幕所示。通过这种方式，网络规则可以设置为保护（阻止），而进程/文件策略可以设置为监控，反之亦然。

WAF规则检测，增强型DLP规则（头部、URL、完整数据包）。用于Web应用程序pod的入口连接以及到api服务的出口连接，以实施api安全。

WAF、DLP和准入控制的CRD。注意：需要额外的集群角色绑定/权限。请参阅Kubernetes和OpenShift部署部分。通过CRD支持的准入控制的CRD导入/导出和版本控制。

通过 Rancher Manager 启动 SUSE® Security 控制台的 Rancher SSO 集成。此功能仅在通过 Rancher 部署 SUSE® Security 容器时可用。此部署从镜像 Rancher 仓库中拉取（例如 rancher/mirrored-neuvector-controller:5.0.0），并部署到 cattle-neuvector-system 命名空间。注意：需要更新的 Rancher 版本 2.6.5（2022 年 5 月）或更高版本，并且目前仅支持管理员和集群拥有者角色。

支持在 RKE2 上进行部署。

通过代理支持集群联邦（多集群管理）。在设置 → 配置中配置代理，并在配置联邦连接时启用代理。

监控所需的 rbac 的 clusterrole/bindings，并在事件和 UI 中警报如果有任何缺失。

支持准入控制规则中的资源限制标准。

支持 Microsoft Teams 格式的 Webhook。

支持映射角色组下的 AD/LDAP 嵌套组。

支持 Openshift 中带有 IDP 的 group 信息的 clusterrolebindings 或 rolebindings。

允许网络规则和准入控制规则提升为联邦规则。

修复工作者联邦角色备份应恢复到非联邦集群的问题。

改善安全风险 → 漏洞中大量 CVE 的页面加载时间。

允许用户在选择策略 → 组菜单中的所有组时切换模式。如果也选择了节点组，则发出警告。

折叠同名的合规检查项并使其可展开。

增强 gRPC 通信的安全性。

修复：在 rke2 设置中无法获取正确的工作负载特权信息。

修复对 openSUSE Leap 15.3 (k8s/crio) 的支持问题。

Helm 图表更新 appVersion 至 5.0.0，图表版本至 2.2.0。

移除了无服务器扫描功能/菜单。

移除了对 Jfrog Xray 扫描结果集成的支持（仍然支持 Artifactory 注册表扫描）。

不再提供在 ECS 上的部署支持。allinone 仍然可以在 ECS 上部署，但步骤和设置的文档不再支持。

功能完整，包括组模式的自动推广。根据经过的时间和标准提升组的保护模式。不适用于 CRD 创建的组。此功能允许新应用程序在发现模式下运行一段时间，学习行为并为网络和进程SUSE® Security创建白名单规则，然后自动转到监控模式，再到保护模式。从发现到监控的判定标准：在组中至少一个活动 pod 的所有网络和进程活动的学习耗时。从监控到保护的判定标准：在为该组设置的时间范围内没有安全事件（网络、进程等）。

支持 Rancher 2.6.5 应用程序和市场图表。部署到 cattle-neuvector-system 名称空间，并启用从 Rancher 到 SUSE® Security 的 SSO。注意：必须完全去除来自Rancher的先前部署（例如，合作伙伴目录图表，版本1.9.x及更早版本），才能更新到新图表。

执法者、管理者、控制器的标签：5.0.0-b1（例如 neuvector/controller:5.0.0-b1）

支持扫描SUSE Linux（SLE，SLES）和Microsoft Mariner。

零漂移进程和文件保护。这是进程和文件保护的新默认模式。零漂移自动仅允许来自原始容器镜像中的父进程的进程，并不允许文件更新或安装新文件。在发现或监控模式下，零漂移会对任何可疑的进程或文件活动发出警报。在保护模式下，它将阻止此类活动。零漂移不需要学习或添加进程到允许列表。为一个组禁用零漂移将导致该组列出的进程和文件规则生效。

网络、进程/文件的分离策略模式保护。现在在设置→配置中有一个全局设置，可以单独设置网络保护模式以执行网络规则。启用此功能（默认禁用）会使所有网络规则处于所选的保护模式（发现、监控、保护），而进程/文件规则保持该组的保护模式，如策略→组屏幕所示。通过这种方式，网络规则可以设置为保护（阻止），而进程/文件策略可以设置为监控，反之亦然。

WAF 规则检测，增强的 DLP 规则（头部、URL、完整数据包）。

WAF、DLP和准入控制的CRD。注意：需要额外的集群角色绑定/权限。请参阅Kubernetes和OpenShift部署部分。通过CRD支持的准入控制的CRD导入/导出和版本控制。

通过 Rancher Manager 启动 SUSE® Security 控制台的 Rancher SSO 集成。此功能仅在通过 Rancher 部署 SUSE® Security 容器时可用。注意：需要更新的Rancher版本（日期/版本待定）。

支持在 RKE2 上进行部署。

通过代理支持集群的联邦（多集群管理）。

监控所需的 rbac 的 clusterrole/bindings，并在事件和 UI 中警报如果有任何缺失。

支持准入控制规则中的资源限制标准。

修复工作者联邦角色备份应恢复到非联邦集群的问题。

源代码中有小的文件和许可证更改，没有添加新功能。

首次发布不受支持的 '技术预览' 版本的 SUSE® Security 5.0 开源版本。

增加对 OWASP Top-10 的支持，以及用于检测头部或主体中网络攻击的 WAF 类规则。包括对签名的CRD定义的支持，并应用于适当的组。

移除无服务器扫描功能。

待定

Helm Chart v1.8.9 已发布用于 5.0.0 部署。如果使用5.0.0的预览版本，则应对values.yml进行以下更改：