那么我完全能够跟前次相同，输入 ";alert(/xss/);//, 即便你之一次从后端到js运用了一次jsEncode，可是很惋惜，输出到html工作（write函数）后代码会转义回来，所以我仍然履行了。 则会变成: DWORD dwVersion = GetVersion();//获得Windows的版本号 "128": "res/images/lightning_green128.png",Kubernetes镜像扫描Anchore主页：https://anchore.com/答应证：免费（Apache）和商业服务Anchore引擎剖析容器镜像并运用用户界说的战略来完结自界说安全查看。 除了针对CVE数据库上已知缝隙的惯例容器镜像扫描之外，还有许多附加条件能够装备为运用Anchore扫描战略的一部分：Dockerfile查看、凭据走漏、特定于言语的包（npm、maven等）、软件答应证等等。 Clair主页：https://coreos.com/clair答应证：免费（Apache）Clair是榜首个开放源代码图画扫描项目之一，也因作为Docker镜像注册中心的安全扫描引擎而广为人知。 Clair能够从很多的缝隙源中提取CVE信息，包含由Debian、RedHat或Ubuntu安全团队编写的特定于发行版的缝隙列表。 与Anchore不同，Clair首要重视缝隙扫描和CVE匹配部分，虽然它经过可刺进驱动程序的完结为用户供给了必定的可扩展性。 Dagda主页：https://github.com/eliasgranderubio/dagda答应证：免费（Apache）Dagda对已知的缝隙、木马、病毒、歹意软件和容器镜像中的其他歹意要挟进行静态剖析。 有两个明显的特性使得Dagda不同于相似的Kubernetes安全东西：它与ClamAV集成在一起，不只能够作为一个容器镜像扫描器，还能够作为杀毒软件。 Dagda还供给了运转时保护功用，从Docker看护进程搜集实时事情，并与CNCF的Falco集成来搜集运转时容器安全事情。 KubeXray主页：https://github.com/jfrog/kubexray答应证：免费（Apache），但需求从JFrog Xray（商业产品）中检索数据KubeXray侦听Kubernetes API服务器事情，并运用来自JFrog Xray（商业产品）的元数据，以保证只要契合当时战略的pod才能在Kubernetes上运转。 KubeXray不只审计新的或晋级的容器布置（相似于Kubernetes答应操控器），还能够依据装备的新安全战略动态查看运转时容器，删去指向软弱镜像的资源。 Snyk主页：https://snyk.io/答应证：免费（Apache）和商业服务Snyk是一种特别的缝隙扫描器，在某种意义上，它特别重视开发作业流，并将其自身宣传为开发人员优先的处理方案。 Snyk将直接衔接到你的代码库，解析项目声明并剖析导入的代码，以及它们的直接和直接库依靠联系。 Snyk支撑许多盛行的编程言语，也能够发现隐含的答应风险。 Trivy主页：https://github.com/knqyf263/trivy答应证：免费（AGPL）Trivy是一个简略而全面的容器缝隙扫描器，易于与你的CI/CD集成。 一个明显的特色是装置和操作简略，只运用一个二进制文件，不需求装置数据库或其他库。 Trivy简略性的缺点是，你需求弄清楚怎么解析和转发 *** ON输出，以便其他Kubernetes安全东西能够运用它。 Kubernetes运转时安全Falco主页：https://falco.org/答应证：免费（Apache）Falco是一个云原生运转时安全东西集，是CNCF宗族的自豪成员。 运用Sysdig的Linux内核检测和体系调用剖析，Falco深化了解了体系行为。 它的运转时规矩引擎能够检测运用程序、容器、底层主机和Kubernetes和谐器中的反常活动。 运用Falco，你将取得完好的运转时可视性和要挟检测，并为每个Kubernetes节点布置一个署理，不需求修正注入第三方代码的容器或堆积边车容器。 Linux运转时安全结构这些本地Linux结构自身并不是Kubernetes安全东西，可是在这里值得一提，由于它们是运转时安全上下文的一部分，能够包含在Kubernetes Pod安全战略（PSP）中。 AppArmor将安全装备文件附加到容器中运转的进程，界说文件体系特权、 *** 拜访规矩、库链接等。 它是一个强制拜访操控（或MAC）体系，这意味着它将阻挠制止的操作发作。 安全增强Linux（SELinux）是一个Linux内核安全模块，在某些方面相似，并且常常与AppArmor相比较。 SELinux比AppArmor更强壮、更细粒度、更灵敏，这是以学习曲线峻峭和复杂性增加为价值的。 Seccomp和seccomp -bpf答应过滤体系调用，阻挠履行可能对底层主机OS有风险的体系调用，这些调用关于用户域二进制文件的惯例操作是不需求的。 它与Falco有一些纤细的相似之处，虽然seccomp不知道容器的存在。 Sysdig主页：https://sysdig.com/opensource/答应证：免费（Apache）Sysdig是一个针对Linux体系（也适用于Windows和Mac OSX，功用有限）的全体系探究、毛病扫除和调试东西，可用于取得保管OS和运转于其上的任何容器的细粒度可视性、查看和取证。 Sysdig还支撑容器运转时和Kubernetes元数据，将这些额定的维度和标签添加到搜集的任何体系活动中。 有几种办法能够运用Sysdig探究Kubernetes集群:你能够运用kubectl capture创立一个时间点捕获，或许运用kubectl dig插件生成一个交互式ncurses接口。 Kubernetes *** 安全Aporeto主页：https://www.aporeto.com/答应证：商业Aporeto供给“与 *** 和基础设施别离的安全性”。 这意味着你的Kubernetes服务不只会取得本地标识（即Kubernetes服务帐户），还会取得通用标识/指纹，可用于以安全且可彼此验证的办法与任何其他服务进行通讯，例如在OpenShift集群中。 Aporeto不只能够为Kubernes/容器，还能够为主机、云功用和用户生成仅有的身份指纹。 依据这些身份和运营商装备的一组 *** 安全规矩，将答应或阻挠通讯。 Calico主页：https://www.projectcalico.org/答应证：免费（Apache）Calico一般在容器编制器装置期间布置，以完结衔接容器的虚拟 *** 。 在这个根本的 *** 功用之上，Calico项目完结了Kubernetes *** 战略规范和它自己的一组 *** 安全概要文件，这些概要文件完结了端点acl和依据注释的 *** 安全规矩，用于进口和出口流量。 Cilium主页：https://www.cilium.io/答应证：免费（Apache）Cilium供给容器防火墙和 *** 安全功用，本机适应于Kubernetes和微服务作业负载。 Cilium运用一种名为BPF（Berkeley Packet Filter, Berkeley Packet Filter）的Linux内核新技能来履行中心数据途径过滤、篡改、监督和重定向。 Cilium能够运用Docker或Kubernetes标签和元数据依据容器标识布置 *** 拜访战略。 Cilium还能够了解和过滤几个第7层协议，比方HTTP或gRPC，答应您界说一组REST调用，这些调用将答应在两个给定Kubernetes布置之间进行。 Istio主页：https://istio.io/答应证：免费（Apache）Istio以完结服务网格范式而出名，它布置一个渠道无关的操控平面，并经过动态装备的特使署理路由一切保管的服务流量。 Istio将运用一切微服务和容器的这种优势视图来完结几种 *** 安全战略。 Istio *** 安全功用包含:通明的TLS加密，主动将微服务通讯晋级到HTTPS，以及它自己的RBAC身份和授权结构，以承受或回绝不同作业负载之间的通讯。 Tigera主页：https://www.tigera.io/答应证：商业Tigera Kubernetes防火墙技能着重对你的Kubernetes *** 安全的零信赖办法。 与其他Kubernetes本机 *** 处理方案相似，Tigera运用Kubernetes元数据来标识集群中的不同服务和实体，供给跨多云或混合的单一容器基础设施的运转时检测、继续的遵照性查看和 *** 可见性。 Trireme主页：https://www.aporeto.com/opensource/答应证：免费(Apache)Trireme-Kubernetes是Kubernetes *** 战略规范的简略、直接的完结。 它最明显的特色之一是，与相似的Kubernetes *** 安全处理方案不同，它不需求一个中心操控平面来和谐网格，使得该处理方案的可扩展性十分低。 Trireme完结了这一点，即每个节点装置一个署理，该署理将直接接入主机的TCP/IP仓库。 镜像分发和密钥办理Grafeas主页：https://grafeas.io/答应证：免费（Apache）Grafeas是一个开源API，用于审计和办理您的软件供应链。 在根本级别上，Grafeas是一个元数据和审计日志搜集东西，你能够运用它来盯梢整个安排的安全更佳实践的遵照性。 这个会集的现实来历能够协助你答复与安全性相关的问题，比方：谁构建并签署了一个特定的容器？它是否经过了一切的安全扫描和战略查看？什么时候？这个东西的输出是什么？谁在出产中布置了它?用于布置的详细参数是什么？Portieris主页：https://github.com/IBM/portieris答应证：免费（Apache）Portieris是一个Kubernetes答应操控器，用于强制内容信赖。 它依靠Notary服务器作为可信和签名工件（即已同意的容器镜像）的本相来历。 不管何时创立或修正Kubernetes作业负载，Portieris都会为恳求的容器镜像提取签名信息和内容信赖战略，假如需求，还会动态修正API *** ON方针，以运转这些镜像的签名版别。 Vault主页：https://www.vaultproject.io/答应证：免费（MPL）Vault是针对暗码、oauth令牌、PKI证书、拜访凭据、Kubernetes隐秘等秘要的高安全性存储处理方案。 它支撑许多高档特性，比方暂时安全令牌租约或编列的密钥滚转。 你能够将vault自身布置为Kubernetes集群中的新布置，运用Helm chart和领事作为其后端存储。 它支撑Kubernetes本地资源，比方serviceaccount令牌，乃至能够装备为默许的Kubernetes密钥存储。 Kubernetes安全审计Kube-bench主页：https://github.com/aquasecurity/kube-bench答应证：免费（Apache）kube-bench是一个Go运用程序，它经过运转CIS Kubernetes基准测验中记载的查看来查看Kubernetes是否安全布置。 Kube-bench将在你的Kubernetes集群组件（etcd、API、controller manager等）上查找不安全的装备参数、灵敏的文件权限、不安全的帐户或揭露端口、资源配额、保护你免受DoS进犯的API速率束缚的装备，等等。 Kube-hunter主页：https://github.com/aquasecurity/kube-hunter答应证：免费（Apache）Kube-hunter在你的Kubernetes集群中寻觅安全缺点（比方长途代码履行或信息揭露）。 你能够将kube-hunter作为长途扫描器运转，它将供给外部进犯者的视角，或许作为Kubernetes集群中的一个Pod。 kube-hunter供给的一个共同特性是，它能够运用active hunting运转，这意味着不只要陈述，并且要实践运用方针Kubernetes中发现的缝隙，这些缝隙可能对集群的操作有害。 当心处理:)。 Kubeaudit主页：https://github.com/Shopify/kubeaudit答应证：免费（MIT）Kubeaudit是一个免费的指令行东西，开端是在Shopify上创立的，用于审计Kubernetes的装备，以处理各种不同的安全问题。 你能够无束缚地运转容器镜像、以root身份运转、运用特权功用或缺省serviceaccount等等。 Kubeaudit还有其他几个值得注意的特性，例如，它能够处理本地YAML文件来检测装备缺点，这些缺点将导致该东西所包含的任何安全问题，并主动为你修正它们。 Kubesec主页：https://kubesec.io/答应证：免费（Apache）Kubesec是一个十分特别的Kubernetes安全东西，由于它将直接扫描声明Kubernetes资源的YAML文件，以找到单薄的安全参数。 例如，它能够检测颁发pod的过多功用和权限，运用root作为默许容器用户，衔接到主机 *** 命名空间，或许像host /proc或docker套接字这样的风险装载。 Kubesec的另一个不错的特性是他们的在线演示链接，你能够在那里发布一个YAML并当即开端测验。 Open战略署理主页：https://www.openpolicyagent.org/答应证：免费（Apache）OPA（Open Policy Agent）的愿景是将你的安全战略和安全更佳实践与特定的运转时渠道解耦：Docker、Kubernetes、Mesosphere、OpenShift或它们的任何组合。 例如，你能够将OPA布置为Kubernetes供认操控器的后端，托付安全决议计划，这样OPA署理就能够动态地验证、回绝乃至修正恳求，以强制履行定制的安全束缚。 OPA安全战略是运用其特定于域的言语Rego编写的。 端到端的Kubernetes安全商业产品咱们决定为商业Kubernetes安全渠道创立一个独自的类别，由于它们一般掩盖几个安全范畴。 这里有一个表格能够看到一个全体的概略：AquaSec主页：https://www.aquasec.com/答应证：商业AquaSec是一款针对容器和云作业负载的商业安全东西，包含：镜像扫描，与你的容器注册表或CI/CD集成；检测容器修正或可疑活动的运转时保护；容器本地运用防火墙；云服务的无服务器安全性；合规性和审计陈述，与事情记载集成。 Capsule8主页：https://capsule8.com/答应证：商业Capsule8与在on-prem或cloud Kubernetes集群上布置传感器的基础设施集成。 该传感器将搜集主机和 *** 遥测数据，依据不同的进犯形式匹配此活动。 Capsule8团队担任在他们设法经过你的体系之前检测和中止0-day的进犯。 他们的安全操作团队能够向你的传感器推送有针对性的规矩，作为对最近发现的软件缝隙要挟的呼应。 Cavirin主页：https://www.cavirin.com/答应证：商业Cavirin处理方案的重点是为不同的安全规范化组织供给一个企业对应方。 除了镜像扫描功用，它还能够与你的CI/CD集成，在不契合要求的镜像被推送到你的私有存储库之前阻挠它们。 Cavirin security suite运用机器学习来为你的 *** 安全状况供给一个相似于信誉的评分，供给一些弥补技巧来改善你的安全状况或安全规范遵照性。 谷歌云安全指令中心主页：https://cloud.google.com/security-command-center/答应证：商业云安全指挥中心协助安全团队搜集数据，辨认要挟，并在它们导致事务损坏或丢失之前对其采纳举动。 正如其称号所示，谷歌云SCC是一个一致的操控面板，你能够在其中集成不同的安全陈述、财物清单和第三方安全引擎，一切这些都来自一个会集的外表板。 谷歌Cloud SCC供给的可互操作API有助于集成来自不同来历的Kubernetes安全事情，比方:Sysdig Secure（云本地运用程序的容器安全）或Falco（开源运转时安全引擎）。 Qualys主页：https://layeredinsight.com/答应证：商业分层洞悉（现在是qualys的一部分）是环绕嵌入式安全的概念规划的。 一旦运用静态剖析技能扫描原始图画以发现缝隙，并经过CVE查看，分层洞悉就会用注入二进制署理的外表化图画替换它。 该二进制文件包含docker *** 流量、输入/输出流和运用程序活动的运转时安全勘探，以及基础设施运营商或开发团队供给的任何自界说安全查看。 Neuvector主页：https://neuvector.com/答应证：商业NeuVector经过剖析 *** 活动和运用程序行为来履行容器安全基线化和运转时保护，从而为每个镜像创立一个定制的安全概要文件。 它还能够主动阻挠要挟，经过修正本地 *** 防火墙阻隔可疑活动。 NeuVector *** 集成，标签为安全网格，能够履行深化包查看和过滤你的服务网格中的一切 *** 衔接的第7层。 StackRox主页：https://www.stackrox.com/答应证：商业StackRox容器安全渠道的方针是掩盖集群中Kubernetes运用程序的整个生命周期。 与此列表中的其他商业容器安全渠道相同，它依据观察到的容器行为生成运转时概要文件，并将在任何反常时主动宣布警报。 StackRox渠道还将运用CIS Kubernetes基准和其他容器遵照性基准评价Kubernetes装备。 Sysdig主页：https://sysdig.com/products/secure/答应证：商业Sysdig Secure在整个容器生命周期中保护你的云本地运用程序。 它集成了容器镜像扫描、运转时保护和取证功用，以辨认缝隙、阻挠要挟、强制遵照性和跨微服务的审计活动。 它的一些相关的功用包含：扫描注册表中的镜像或作为CI/CD流水线的一部分，以发现易受进犯的库、包和装备；运转时检测经过行为特征保护出产中的容器；经过微秒级粒度的体系调用记载进犯前和进犯后的活动；250多项开箱即用合规性查看，保证你的装备安全。 Tenable Container Security主页：https://www.tenable.com/products/tenable-io/container-security答应证：商业Tenable在容器呈现之前，作为Nessus（一种盛行的缝隙扫描和安全听觉东西）背面的公司，在安 *** 业广为人知。 “可保护的容器安全”运用他们在计算机安全范畴的经历，将你的CI/CD流水线与缝隙数据库、专门的歹意软件检测引擎和安全要挟弥补主张相集成。 Twistlock（Palo Alto Networks）主页：https://www.twistlock.com/答应证：商业Twistlock声称自己是云榜首、容器榜首的渠道，供给与云供给商（AWS、Azure、GCP）、容器编列者（Kubernetes、Mesospehere、OpenShift、Docker）、无服务器运转时、网格结构和CI/CD东西的特定集成。 除了一般的容器安全企业特性，如CI/CD集成或镜像扫描，Twistlock运用机器学习技能来生成行为形式和容器感知 *** 规矩。 Twistlock被相同具有该公司的帕洛阿尔托 *** 公司（Palo Alto Networks）收买，io和Redlock安全处理方案。 尚不清楚这三个渠道怎么集成到帕洛阿尔托的PRI *** A的。 协助咱们树立更好的Kubernetes安全东西目录咱们努力使这个页面成为Kubernetes安全东西的首选目录，但咱们不能独自完结它！你知道的Kubernetes安全东西应该包含在这个列表中吗？你发现什么过错或过期的信息了吗？能够在下面留言。 原文链接：https://sysdig.com/blog/33-kubernetes-security-tools/ PS：趋势是与上一年 7 月比照PYPL 指数原始数据依据 Google trends ，依据编程言语在 Google 上的搜索频率（次数）来评价言语的盛行度。 Python 和 Java 走势：JavaScript 和 PHP 走势：完好的排名请检查：PYPL PopularitY of Programming Language

谷歌浏览器Chrome Stable稳定版迎来v62正式版首版发布，具体版别号为v62.0.3202.89，上一个正式版v62.0.3202.75发布于10月27日，时隔11天Google又发布了新版Chrome浏览器，本次晋级常规更新了2项安全修正及稳定性改善。