marchinthesun/ebpf-cve-tracer
GitHub: marchinthesun/ebpf-cve-tracer
面向高密度 Kubernetes 环境的轻量级运行时漏洞扫描与安全审计工具,在保持低资源开销的同时提供可操作的 CVE 洞察。
Stars: 0 | Forks: 0
# SecureView:高性能 Kubernetes CVE 扫描程序与运行时安全审计器
**主题:** `kubernetes` · `security` · `cve-scanner` · `devsecops` · `compliance` · `vulnerability-management` · `cloud-native` · `hpc-security`
SecureView 是一款专为**高密度 Kubernetes** 和 **Docker** 环境设计的**高级运行时漏洞扫描程序**。它面向对 **CPU 和 RAM 开销**有严格要求(需保持可预测性)的团队——包括 **HPC** 和 **ML** 负载——同时仍能提供具有可操作性的 CVE 洞察。
**专为 HPC 和 ML Kubernetes 集群提供的一流安全工具。** SecureView 结合了镜像扫描 (Trivy)、环境/密钥 (secret) 启发式分析、**运行时清单偏移检测**、**按层排序的 CVE 链视图**,以及用于输出 **Kubernetes NetworkPolicy** YAML 以缩小影响范围的**隔离模式**草案。
对于将控制措施映射到框架的组织而言,其工作流程符合**自动化合规审计**(例如,云原生架构中符合 **ISO 27001** / **SOC 2** 风格的证据收集)的常见需求——可将扫描与您现有的 GRC 流程相结合。
它旨在作为一款**轻量级替代方案**,以取代那些不适合**大规模**部署(即不希望使用 Agent 和永久性云绑定)的笨重商业套件——在**以清单为中心**的 CVE 工作流中,其定位可与 **Aqua** 或 **Snyk** 等工具相媲美(功能集存在差异,请根据您的实际需求进行验证)。
## 核心亮点
| 功能 | 描述 |
|------------|-------------|
| **运行时清单与偏移** | 将**实时**工作负载指纹(镜像 + 环境)与**上次缓存的扫描**进行比较——在配置变动悄然扩大暴露面之前将其暴露出来。 |
| **CVE 链分析** | 深度视图:按 **Trivy result target / layer** 对发现的结果进行分组展示,而不仅仅是展示扁平的 CVE 表格。 |
| **隔离模式** | 生成限制出站的 **NetworkPolicy** 草案(DNS 基线 + YAML 注释中的显式扩展点)。 |
| **无出站遥测数据** | 扫描通过内置的 **`trivy`** / 可选的 **`gitleaks`** 在本地执行——详见 **SECURITY.md**。 |
## 基准测试对比(示意)
实际运行开销取决于镜像大小、Registry 延迟、节点数量以及 `TRIVY_*` 参数的调优。**下表数据为示意性的实验室测试对比结果**,并非合同规定的 SLA 指标——请在您的集群上进行实际测量。
| 场景 | 控制器大约 RSS 占用 | 备注 |
|----------|-------------------------|-------|
| SecureView 扫描 **1000+ 个 Pod 目标**(已缓存的拉取、受限的并行度) | 在内部测试中,比典型的基于 JVM 的扫描器 Agent 的峰值 RSS **低约 40%** | 基于合成的清单批次得出;为保证公平性,测试时已禁用竞品 Agent 的内置缓存。 |
| 控制器空闲(仅 UI) | 数十 MB RSS | 静态 UI + Go 运行时 |
## 快速开始
```
git clone https://github.com/marchinthesun/ebpf-cve-tracer.git
cd kube-metrics
docker compose up -d --build
# UI → http://127.0.0.1:9843
```
挂载 Docker socket 用于主机清单收集 (`docker-compose.yml`)。Kubernetes 清单收集需要集群内的 RBAC 权限或有效的 kubeconfig (`SECUREVIEW_MODE=both`)。
### 主要路由
| 路由 | 用途 |
|-------|---------|
| `GET /api/v1/security/runtime-drift` | 运行时偏移与缓存扫描的对比 |
| `GET /api/v1/security/cve-chains?id=
` | 按层展示 CVE 链(需提前完成扫描) |
| `GET /api/v1/security/isolation-policy?id=` | 生成 NetworkPolicy YAML 草案 |
有关组件布局请参阅 **ARCHITECTURE.md**,有关隔离草案和披露信息请参阅 **SECURITY.md**。
## 配置说明
- 默认值可以嵌入到二进制文件中 (`internal/assets/embedded_defaults.go`);环境变量会覆盖默认值。
- 可选的 `scripts/deploy.defaults.env` 通常会为 CI / 部署封装器设置 **`IMAGE`**。
## 法律声明
请仅在您已被授权测试和运营的基础设施上进行部署。标签:AI基础设施审计, Apex, Chrome Headless, CISA项目, Claude, CVE检测, DevSecOps, DNS 解析, Docker, Docker镜像, EVTX分析, Force Graph, GPT, HPC, ISO 27001, Kubernetes安全, ML, NetworkPolicy, SOC 2, StruQ, Web截图, XXE攻击, 上游代理, 动态调试, 合规性审计, 子域名突变, 安全防御评估, 容器安全, 微服务安全, 日志审计, 机器学习, 活动识别, 漏洞管理, 网络策略, 请求拦截, 资源消耗低, 轻量级安全工具, 配置漂移检测, 镜像扫描, 隔离模式, 高性能计算