KrakoX/capsule

GitHub: KrakoX/capsule

轻量级零依赖的容器安全评估工具,快速检测容器的隔离配置、权限边界与潜在逃逸路径。

Stars: 0 | Forks: 0

# capsule 一款快速、零依赖的容器安全评估工具。将其放入任何容器中,即可立即了解其安全态势 —— capabilities、namespaces、seccomp、AppArmor、危险挂载、Kubernetes 上下文等。 [![CI](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/34d3255e77223449.svg)](https://github.com/KrakoX/capsule/actions/workflows/ci.yml) [![Go Report Card](https://goreportcard.com/badge/github.com/KrakoX/capsule)](https://goreportcard.com/report/github.com/KrakoX/capsule) [![License: MIT](https://img.shields.io/badge/License-MIT-yellow.svg)](LICENSE) ## 功能特性 - **容器运行时检测** — containerd (K3s, RKE2, MicroK8s, EKS), Docker, CRI-O, Podman - **Linux Capabilities** — 解码所有 41 项 capabilities,标记危险项并评估风险等级 - **Namespace 隔离** — 检测主机 PID (`--pid=host`) 和主机网络 (`--network=host`) 共享情况 - **Seccomp / AppArmor** — 配置文件检测及执行状态 - **危险 Syscalls** — 测试 mount、ptrace、reboot、setns、unshare、pivot_root 等 - **Kubernetes 上下文** — Service Account、Pod 安全上下文、hostNetwork/hostPID/hostIPC - **文件系统分析** — 危险挂载、SUID 二进制文件、可写目录、Docker socket 检测 - **网络分析** — 接口枚举、隔离级别、DNS 类型 - **进程分析** — PID 1 检查、root 权限检测、Shell 访问权限 ## 安装说明 ### 预编译二进制文件(推荐) ``` # linux/amd64 curl -sSfL https://github.com/KrakoX/capsule/releases/latest/download/capsule_linux_amd64.tar.gz \ | tar -xz capsule # linux/arm64 curl -sSfL https://github.com/KrakoX/capsule/releases/latest/download/capsule_linux_arm64.tar.gz \ | tar -xz capsule ``` ### go install ``` go install github.com/KrakoX/capsule@latest ``` ### 从源码构建 ``` git clone https://github.com/KrakoX/capsule.git cd capsule make build ``` ## 使用方法 ``` # 人类可读输出 (default) ./capsule # 用于自动化 / pipelines 的 JSON ./capsule -format json # 仅显示 HIGH 和 CRITICAL 发现 ./capsule -risk-only # 抑制 informational 消息 ./capsule -quiet # 将输出写入文件 ./capsule -output /tmp/report.json -format json # 打印 version ./capsule -version ``` 有关常见场景的示例输出,请参阅 [docs/examples.md](docs/examples.md)。 ## 输出格式 | 标志 | 描述 | |------|-------------| | `-format text` | 彩色终端输出(默认) | | `-format json` | 结构化 JSON —— 适用于 `jq`、日志管道或 SIEM 接入 | ## 背景 `capsule` 汲取了 [amicontained](https://github.com/genuinetools/amicontained) 的理念 —— 这是 genuinetools 项目中的一个实用工具 —— 并更新了运行时检测、增加了 Kubernetes 上下文感知,且仅包含一个外部依赖。 ## 贡献指南 请参阅 [CONTRIBUTING.md](CONTRIBUTING.md)。 ## 安全策略 有关漏洞披露策略,请参阅 [SECURITY.md](SECURITY.md)。 ## 许可证 MIT —— 详见 [LICENSE](LICENSE)。
标签:AppArmor, CIS 基准, DevOps, DevSecOps, Docker 安全, EVTX分析, Golang, Kubernetes 安全, Linux Capabilities, Mr. Robot, Seccomp, SUID 检测, Web截图, Web报告查看器, 上游代理, 反取证, 命名空间隔离, 子域名突变, 安全态势感知, 安全编程, 安全评估, 容器安全, 容器逃逸, 攻击面分析, 日志审计, 模型鲁棒性, 特权容器检测, 网络安全审计, 请求拦截, 运行时检测, 零依赖