#RBAC
标签 · 共 2 篇
云原生安全··0 分钟
Kyverno 的 apiCall 不是只读查询:从 CVE-2026-22039 看 admission controller 的隐性授权边界
CVE-2026-22039 暴露了 Kyverno 策略引擎的一个根本性设计盲区:namespaced Policy 的 apiCall 使用 admission controller 自身的 ServiceAccount 执行 API 请求,且未限制命名空间范围。本文从根因分析、补丁盲区到 confused deputy,拆解 admission controller 的隐性授权边界问题。
#Kubernetes#Kyverno#准入控制
云原生安全··0 分钟
Kubernetes 准入控制与 RBAC 的实战加固:从权限爆炸到策略即代码
OWASP Kubernetes Top 10 2025 将'过度 RBAC 权限'和'不严格的工作负载权限'列为前两位风险。本文从真实集群的权限审计出发,深入分析 Kubernetes RBAC 的隐性风险、准入控制器的工程化部署,以及策略即代码(Policy as Code)在持续交付中的落地实践。
#Kubernetes#RBAC#准入控制