Kubesec static kubernetes definition file’larınız üzerinde static analiz yapmanızı sağlayan bir güvenlik çözümüdür. Genel olarak güvenlik çözümleri yada entegrasyonları (Authentication,Authorization,Admission controllers vs.) definition file apply edildikten sonra uygulanır. Kubesec bize definition dosyalarını apply etmeden statik olarak taramaya olanak sağlar.
Kubesec ile definition dosyaları statik olarak tarandıktan sonra json yada yaml formatında bir çıktı verir. Bu çıktı taramaya ilişkin bir score içerirken kritik olan durumları da gösterir. Ayrıca düzeltmek için gerekli tavsiyeyi de gösterir.
Kubesec binary olarak local’e kolaylıkla yüklenebilir. ve kubesec komut satırı aracı ile kolay şekilde kullanılabilir.Kurulum adımları için aşağıdaki adımları takip edebilirsiniz.
İlgili kubesec sürümü wget ile download edilir.
wget https://github.com/controlplaneio/kubesec/releases/download/v2.11.0/kubesec_linux_amd64.tar.gz
İndirilen tarball açılır.
tar -xvf kubesec_linux_amd64.tar.gz
Kubesec /usr/bin dizinine kopyalanarak her dizinden çağırılabilmesi sağlanır.
mv kubesec /usr/bin/
Bu işlemlerin ardından definition file’lar aşağıdaki şekilde scan edilebilir.
kubesec scan pod.yaml
Ya da hiç kubesec kurulumu yapmadan online olarak da bu işlem aşağıdaki gibi curl yardımı ile gerçekleştirilebilir.
curl -sSX POST --data-binary @"pod.yaml" https://v2.kubesec.io/scan
Scan işlemi sonrası çıktı aşağıdaki gibi olacaktır.
Ayrıca kubesec’i bir sunucu gibi internal ortamda static analiz yapacak şekilde konfigüre etmek isterseniz aşağıdaki gibi background process olarak çalıştırabilirsiniz.
kubesec http 8080 &
Bu işlemin ardından internal ortamda curl komutunu kullanarak herkes definition file’ları üzerinde code analizleri yapabilir.