云原生周刊：K8s 严重漏洞

k8s-严重漏洞">云原生周刊：K8s 严重漏洞

开源项目推荐

KitOps

KitOps 是一款开源的 DevOps 工具，专为 AI/ML 项目的全生命周期管理而设计，通过将模型、数据集、代码和配置打包并版本化为符合 OCI（开放容器标准）的工件，简化了 AI/ML 工作流的部署与管理。KitOps 支持统一打包，将 AI/ML 模型、数据集和配置封装为便携式工件，同时提供详细的版本控制，确保机器学习实验的可追溯性和可复现性。

Yokai

Yokai 是一个简单、模块化且可观测的开源 Go 框架，专为构建高效可靠的后端应用而设计。它采用模块化架构，允许开发者根据具体需求灵活组装功能模块，简化开发流程并提升项目的可维护性。Yokai 内置对可观测性的支持，提供详细的日志、指标和追踪功能，帮助开发者快速定位和解决问题，同时确保系统的高性能和稳定性。

Venator

Venator 是一个灵活的威胁检测平台，旨在通过简化规则管理和部署流程，提升安全运营效率。它原生支持 K8s，能够利用 K8s CronJob 和 Helm 快速部署，同时支持独立运行或与其他作业调度器（如 Nomad）配合使用，满足多样化的部署需求。

Piko

Piko 是一款开源的 Ngrok 替代方案，专为承载生产流量而设计，同时具有简单易用的自托管能力，特别适合部署在 K8s 环境中。它提供安全、高效的隧道服务，帮助开发者快速暴露本地服务到公网，无需繁琐的配置。

文章推荐

k8s-漏洞允许攻击者执行任意命令">严重的 K8s 漏洞允许攻击者执行任意命令

近期发现的高危安全漏洞（CVE-2024-10220）影响使用 in-tree gitRepo 卷的 Kubernetes 集群，该漏洞通过目标仓库中的 hooks 文件夹，允许攻击者在容器边界之外执行任意命令，严重威胁集群安全。受影响的 Kubernetes 版本包括 kubelet v1.30.0 至 v1.30.2、v1.29.0 至 v1.29.6 以及 v1.28.11 及更早版本。建议管理员升级至修复版本，如 kubelet v1.31.0、v1.30.3、v1.29.7 和 v1.28.12。同时，鉴于 gitRepo 卷已被弃用，建议使用 init 容器执行 Git 克隆操作后将目录挂载到 Pod 的容器中以减少风险。

为何 Testcontainers Cloud 成为测试场景中优于 Docker-in-Docker 的颠覆性选择

这篇文章探讨了在测试环境中使用 Docker-in-Docker（DinD）所面临的挑战，如安全风险、稳定性问题和调试复杂性。作者介绍了 Testcontainers Cloud 作为一种替代方案，强调其通过将容器执行转移至云端，提供了更安全、高效且对开发者友好的测试环境。文章还详细说明了 Testcontainers Cloud 如何解决 DinD 的主要痛点，并提供了在本地开发和 CI/CD 管道中集成 Testcontainers Cloud 的实用指南。

从本地到生产：现代开发者的 Kubernetes 之旅

本文探讨了现代开发者在将应用程序从本地开发环境迁移到 Kubernetes 生产环境过程中所面临的挑战和最佳实践。作者强调，尽管 Kubernetes 简化了容器的运行和编排，但从本地开发到 Kubernetes 的过渡并非简单的复制粘贴。文章介绍了开源工具如 Podman 和 Docker，如何帮助开发者在本地轻松地容器化应用程序。此外，作者还提供了从编写代码、在本地容器化、部署到 Kubernetes 集群，以及在本地调试 Kubernetes 应用程序的完整开发体验。

云原生动态

Docker Desktop 4.36：新的企业管理功能、WSL 2 和 ECI 增强功能

Docker Desktop 4.36 引入了强大的更新，以简化企业管理并增强安全性。

Docker Desktop 4.36 版本的主要功能包括：

Docker Business 订阅的新管理功能：
- 使用 macOS 配置文件强制登录（早期访问计划）
- 强制同时为多个组织登录（抢先体验计划）
- 使用 PKG 安装程序批量部署 Docker Desktop for Mac（早期访问计划）
- 使用桌面设置管理通过管理控制台 (早期访问程序) 来管理和强制执行默认设置
- 增强容器隔离 (ECI) 改进
其他改进：
- WSL 2 现在速度更快、更可靠，并且通过 Mono 分布增强了安全性

Shipwright v0.14.0 发布

Shipwright v0.14.0 发布，这是加入云原生计算基金会后的首次发布。新版本新增了漏洞扫描功能，集成到镜像构建过程中，确保有漏洞的镜像不会进入容器注册表。虽然仍需定期重新扫描以保持安全，这一功能尤其适用于基础镜像停止更新的情况。此外，Shipwright CLI 现在支持构建参数。

Keycloak 完成模糊测试审计

Keycloak 已完成模糊测试审计。

此次审计将 Keycloak 整合到OSS-Fuzz 项目中，该项目是 Google 为关键开源项目开发和提供的开源模糊测试程序。获准的项目可以在其 OSS-Fuzz 版本中包含模糊测试，OSS-Fuzz 将使用大量计算运行这些测试，以增加项目在恶意威胁者发现潜在错误和漏洞之前发现它们的机会。

模糊测试在审计期间发现了一个低严重程度的崩溃，审计团队使用上游补丁修复了该问题。随着 Keycloaks 集成到 OSS-Fuzz，其模糊测试在审计后继续测试 Keycloak 代码。

kubesphere">关于KubeSphere

KubeSphere （https://kubesphere.io）是在 Kubernetes 之上构建的开源容器平台，提供全栈的 IT 自动化运维的能力，简化企业的 DevOps 工作流。

KubeSphere 已被 Aqara 智能家居、本来生活、东方通信、微宏科技、东软、华云、新浪、三一重工、华夏银行、四川航空、国药集团、微众银行、紫金保险、去哪儿网、中通、中国人民银行、中国银行、中国人保寿险、中国太平保险、中国移动、中国联通、中国电信、天翼云、中移金科、Radore、ZaloPay 等海内外数万家企业采用。KubeSphere 提供了开发者友好的向导式操作界面和丰富的企业级功能，包括 Kubernetes 多云与多集群管理、DevOps (CI/CD)、应用生命周期管理、边缘计算、微服务治理 (Service Mesh)、多租户管理、可观测性、存储与网络管理、GPU support 等功能，帮助企业快速构建一个强大和功能丰富的容器云平台。