Vesta v1.04 云原生安全检测工具发布:增加供应链投毒检测


Vesta 是一款实用、方便的镜像扫描以及 Docker、Kubernetes 基线安全检查工具。 致力检查因 Docker 或 Kubernetes 错误配置而导致的各种潜在安全问题的发生。

Vesta v1.0.4 更新内容如下:

新功能

  • 增加sidecar中Env以及EnvFrom中变量检查,并且定位到具体的ConfigMap或Secret
  • 增加Pod annotation检测
  • 增加供应链投毒检测

改进

  • 更改了的rpm检测的方法
  • 更改了containerd内核检测方法
  • upgrade命令更换为update

vesta 收集了网上用量最多的包名字以及目前已知的恶意包名字,与容器中已安装的包进行相似度对比,相似度大于80%即判断为可疑的投毒包(目前仅支持python的检测,后期将加入其他语言的检测以及镜像投毒检测)


相關推薦

2023-01-16

Vesta 是一款实用、方便的镜像扫描以及 Docker、Kubernetes 基线安全检查工具。 致力检查因 Docker 或 Kubernetes 错误配置而导致的各种潜在安全问题的发生。 Vesta v1.0.3 更新内容如下: 新功能 镜像检查增加对Java,PHP,Rust依赖的版

2023-02-10

理性,不少用户运用开源 Harbor 制品仓库,管理敏捷软件供应链中云原生应用的镜像,包括镜像存储、镜像扫描和镜像签名等功能。 Harbor 已经提供了一些高级的安全功能,例如,对镜像进行扫描,以发现潜在的安全问题。Harbor

2022-08-09

perbot-malware-targeting.html   情报订阅 OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户

2022-03-16

vue-cli 的依赖项 node-ipc 包正在以反战为名进行供应链投毒,该包在 npm 每周有上百万下载量。 知名技术网站 V2ex 的一条爆出了这个问题,用户  在使用 npm 构建前端项目时,启动项目后桌面自动创建了一个《 WITH-LOVE-FROM-AMERICA.t

2023-04-22

组织在云原生开发方面面临的具体安全风险;包括其软件供应链面临的风险,以及如何降低这些风险以保护其应用程序和 IT 环境。该报告基于对全球 600 名 DevOps、工程和安全专业人士的调查,揭示了组织在云原生采用过程中面

2022-07-09

近日,checkmarx 研究人员公开了一起涉及众多包的 NPM 软件供应链攻击事件。 事件最早可以追溯到 2021年12月,攻击者投放了1200多个包含混淆加密的恶意 NPM,这些包含有相同的挖矿脚本 eazyminer,该脚本的目的是利用如 Database 和 W

2022-09-16

用户根据自身情况在 Containerd 和 iSulad 中做出选择。 供应链安全。当下,全球开源社区对供应链安全的关注度不断上升,Kubernetes 上游也在最近的版本中加入了这一检测机制。尤其对于普遍依托 OCI Image 方式分发的各种云原生

2024-10-21

披露发生在今年10月15日,火山引擎在视频云技术大会上发布了大模型训练视频预处理方案,助力解决视频大模型训练的成本、质量和性能等方面的技术挑战。目前,该技术方案已应用于豆包视频生成模型。 (本文来自第一财经)

2022-10-16

HummerRisk v0.4.0 已经发布,云原生安全检测平台 此版本更新内容包括: 快速开始 仅需两步快速安装 HummerRisk: 准备一台不小于 4 核 8 G 内存的 64位 Linux 主机; 以 root 用户执行如下命令一键安装 HummerRisk。 curl -sSL https:

2023-02-19

HummerRisk v0.9.1 已经发布,云原生安全检测平台 此版本更新内容包括: 快速开始 仅需两步快速安装 HummerRisk: 准备一台不小于 4 核 8 G 内存的 64位 Linux 主机; 以 root 用户执行如下命令一键安装 HummerRisk。 curl -sSL https:

2023-08-04

集性和用户输入的不可预测性,这种漏洞就会被放大。 供应链漏洞。LLM 应用程序生命周期可能会受到易受攻击的组件或服务的影响,从而导致安全攻击。使用第三方数据集、预训练的模型和插件会增加漏洞。 敏感信息泄露

2023-01-06

公司与北京飞轮数据科技有限公司开展深入合作,基于云原生实时数仓 SelectDB 构建了全新的用户行为在线分析平台。该平台的落地应用使得亿级别数据响应时间从分钟级降至秒级,数据开发效率提升的同时大幅降低了维护成本

2023-07-13

新发布项目二:高性能服务网格—Kmesh 服务网格作为云原生的下一代技术,已逐步成为云上基础设施标配,但其sidecar架构存在性能问题,是当前网格技术推广的关键;Kmesh高性能服务网格发布,通过架构创新为开发者带来全新

2023-08-07

n 语言。 “在过去的几个月中,我们观察到针对 Golang 的供应链攻击有所增加。意识到这种迫在眉睫的威胁后,我们知道是时候将 Socket 已经验证的主动式防护引入 Go 了。” Socket 方面还介绍了在添加 Go 支持过程中所面临