18 dépôts
Tools for securing containers and Kubernetes clusters.
Explore 18 awesome GitHub repositories matching part of an awesome list · Cloud Native Security. Refine with filters or upvote what's useful.
Dive is a command-line tool designed for the analysis and optimization of container images. It functions as a layered storage inspector, allowing users to decompose image manifests to examine individual filesystem layers and identify opportunities to reduce total image size. The tool features a filesystem diffing engine that calculates net changes between sequential layers to highlight redundant data and storage inefficiencies. Users interact with this data through a terminal-based dashboard that provides keyboard-driven navigation of complex file structures and layer metadata. By abstracting
Analyzes Docker image layers for security issues.
etcd is a distributed, strongly consistent key-value store designed to provide reliable storage for critical system metadata and coordination primitives. It functions as a distributed consensus engine, utilizing a replicated log and leader-based state machine to ensure that all nodes in a cluster maintain a synchronized view of data. By providing atomic operations and linearizable reads and writes, it serves as a foundational component for distributed systems requiring high availability and fault tolerance. The system distinguishes itself through its multi-version concurrency control, which e
Distributed key-value store for Kubernetes.
This project is a terminal-based dashboard for managing Kubernetes clusters. It provides a character-based interface that enables real-time monitoring and interactive control of containerized workloads, allowing users to perform administrative tasks such as scaling deployments, viewing logs, and managing port forwarding directly from the command line. The interface is designed for high-speed navigation, utilizing a keyboard-driven command system that maps input sequences to specific operational actions. It maintains an accurate view of the cluster state through asynchronous event polling, ens
Terminal-based management for Kubernetes clusters.
Minikube is a command-line tool designed for local Kubernetes development, enabling users to provision and manage full-featured container clusters directly on a workstation. It serves as a local orchestrator that automates the lifecycle of isolated environments, allowing developers to start, stop, pause, and delete clusters to support testing and integration workflows. The project distinguishes itself through its flexible architecture, which supports multiple virtualization drivers and container runtimes to accommodate diverse host environments. It provides deep integration between the host a
Deploys local Kubernetes clusters for testing.
This project is a local Kubernetes cluster manager and tool that runs control plane and worker nodes as containers on a host machine. It provides an environment for local development and automated testing by emulating a full Kubernetes cluster within a container runtime. The tool enables the creation of multi-node topologies and high-availability control planes through configuration files. It supports image sideloading to transfer container images directly from the host to nodes, bypassing remote registries, and allows for offline deployments using pre-built node images. Capabilities include
Runs local Kubernetes clusters using Docker.
This project is a security compliance tool and configuration auditor designed to evaluate Docker deployments against industry security benchmarks. It functions as a script-based scanner that identifies misconfigurations and vulnerabilities within both the host operating system and container settings. The tool specifically implements the Center for Internet Security standards for Docker to verify host and container configurations. It enables a hardening workflow by comparing system states against these standards to identify security gaps and document compliance status. The audit engine suppor
Audits Docker containers against CIS benchmarks.
kube-bench is a Kubernetes security benchmark scanner and configuration auditor. It verifies if a cluster adheres to the Center for Internet Security standards and other hardening guides to identify security misconfigurations and vulnerabilities. The tool operates as a containerized security scanner, utilizing host namespaces to analyze nodes and control plane components without requiring the installation of binaries directly on the host. It supports multiple Kubernetes distributions, applying environment-specific benchmarks to ensure auditing accuracy for managed services. The project cover
Checks Kubernetes against CIS security benchmarks.
Kube-hunter est un scanner de sécurité et un chasseur de vulnérabilités pour les clusters Kubernetes. Il opère comme un outil de pénétration cloud-native conçu pour identifier les faiblesses de sécurité, les mauvaises configurations d'infrastructure et les lacunes exploitables en simulant des techniques d'attaquants. L'outil se distingue par un moteur de scan en mode dual qui exécute à la fois des sondes externes distantes et des scans réseau internes. Il dispose d'une usurpation d'identité, lui permettant d'utiliser des jetons de compte de service et des identités de pod pour simuler l'accès de sécurité à partir de rôles de cluster spécifiques et déterminer le rayon d'explosion potentiel d'un compromis de conteneur. Le projet couvre une large surface de capacités d'évaluation de sécurité, incluant le scan de vulnérabilités de cluster, la cartographie de topologie réseau interne et la vérification de conformité. Il peut détecter des secrets exposés, analyser des templates d'infrastructure pour des mauvaises configurations et effectuer des tentatives d'exploitation actives pour vérifier que les vulnérabilités découvertes sont exploitables. L'application est packagée sous forme d'exécutable autonome pour supprimer les dépendances runtime pendant le déploiement.
Hunts for security weaknesses in Kubernetes clusters.
CDK est une boîte à outils spécialisée pour l'audit de sécurité des conteneurs, l'exploitation d'évasions de conteneurs et le pentesting d'infrastructures cloud. Elle fournit une collection de scripts et d'outils conçus pour identifier et exploiter les vulnérabilités dans les runtimes de conteneurs afin de sortir des environnements isolés et d'exécuter des commandes sur le système d'exploitation hôte sous-jacent. Le projet propose une suite d'exploitation dédiée au runtime Docker pour abuser de l'API Docker, de procfs et des cgroups afin d'obtenir un accès non autorisé au niveau de l'hôte. Il inclut des techniques spécifiques pour contourner l'isolation via LXCFS, l'exploitation des espaces de noms utilisateur et le montage de disques hôtes, ainsi que des capacités pour extraire les métadonnées cloud et auditer les permissions des comptes de service afin d'élever les privilèges dans les environnements de cluster. La boîte à outils couvre un large éventail de capacités d'audit de sécurité, y compris l'audit de clusters Kubernetes pour l'exfiltration de secrets et l'analyse de politiques, l'analyse de fichiers et services sensibles, et la détection du partage de réseau hôte. Elle fournit également des utilitaires pour établir des reverse shells, déployer des charges utiles dans des environnements restreints et installer des outils d'administration système au sein de conteneurs minimaux.
Toolkit for Kubernetes and container penetration testing.
kubeadm is a tool for initializing a minimum viable Kubernetes control plane and joining worker nodes to a secure cluster. It serves as a control plane orchestrator and cluster bootstrapper designed to automate the deployment and maintenance of the Kubernetes management layer. The project provides lifecycle management utilities for upgrading cluster versions and resetting node states to restore hosts to a clean installation baseline. It handles the secure integration of new nodes through token-based joining and ensures availability during software transitions via phased version upgrading. Th
Deploys production-ready Kubernetes clusters.
Ce projet fournit une suite d'utilitaires de diagnostic et de validation pour les runtimes de conteneurs qui implémentent l'interface CRI (Container Runtime Interface) de Kubernetes. Il sert d'interface en ligne de commande pour interagir avec et gérer les cycles de vie des conteneurs, les images et les sandboxes directement sur une machine hôte sans nécessiter un déploiement complet de cluster. L'ensemble d'outils se distingue par son accent sur la conformité de l'interface et la vérification des performances. Il inclut des suites de tests automatisées qui valident si un runtime adhère aux spécifications d'interface définies et gère correctement l'intégration des plugins de ressources. De plus, il fournit des capacités de benchmarking pour mesurer la latence et le débit des opérations de conteneur, ainsi que des utilitaires pour inspecter l'état du runtime et dépanner la connectivité via des politiques configurables de réessai et de délai d'attente. Au-delà de la validation de base, le projet prend en charge des tâches opérationnelles telles que l'exécution de commandes au sein de conteneurs actifs, la gestion des checkpoints de conteneurs et le suivi des métriques d'utilisation des ressources. Il inclut également des fonctionnalités pour tester la stabilité des connexions de données en streaming pour les sessions interactives, garantissant que les opérations de port-forwarding et d'attachement fonctionnent comme prévu.
Tools for interacting with container runtimes.
问脉已接入 openai, 可以使用 openai 对扫描的结果进行人性化分析,让您更加清晰的了解本次扫描发现了哪些风险。
Comprehensive suite for container security analysis.
HummerRisk 是云原生安全平台,包括混合云安全治理和云原生安全检测。
Platform for managing cloud-native security risks.
Peirates - Kubernetes Penetration Testing tool
Performs penetration testing on Kubernetes clusters.
a tool to perform static analysis of known vulnerabilities, trojans, viruses, malware & other malicious threats in docker images/containers and to monitor the docker daemon and running docker containers for detecting anomalous activities
Scans Docker images for vulnerabilities and malware.
Red Team K8S Adversary Emulation Based on kubectl
Simulates red team attacks against Kubernetes.
Checks for potential container escape vulnerabilities.