Kubescape v4.0.9는 스캔 정확도 버그(부분 리소스 수집, 커버리지 리포팅, Prometheus 출력)를 고치고 스캔 리포트의 정보 노출을 보강하며, patch 명령의 기본 푸시 동작을 변경한 대규모 유지보수 릴리스입니다.
security시크릿 노출 관련 수정과 신규 익명화 플래그 점검
스캔 결과의 정보 노출을 막는 수정이 여러 건 포함됐습니다. removeContainersData에서 EnvFrom과 Env[].ValueFrom을 제거하고(커밋 acc3280, 0c68cca), /v1/results의 IDOR 취약점을 보강했으며(커밋 0fe6a0f), 리소스 이름·네임스페이스·라벨·어노테이션·컨테이너 메타데이터를 가리는 --hide 익명화 파이프라인이 새로 추가됐습니다. 스캔 리포트를 팀 밖으로 공유하거나 CI 아티팩트로 내보낸다면 --hide 플래그를 검토하고 컨테이너 환경변수 참조가 노출되지 않는지 확인하세요.
breakingpatch 명령의 기본 푸시 동작 제거
Kubescape의 fix 명령이 이제 기본적으로 패치된 이미지를 푸시하지 않습니다(커밋 b10cbb1). CI 파이프라인이 기존의 기본 푸시 동작에 의존하고 있었다면 --push 플래그를 명시적으로 추가해야 합니다. 그렇지 않으면 업그레이드 후 패치 파이프라인이 아무 경고 없이 이미지 푸시를 멈춥니다.
enhancement신규 커버리지 게이트와 diff 명령을 CI에 도입
CI 파이프라인에서 스캔 커버리지와 컨트롤 결과를 게이트할 수 있는 플래그가 추가됐습니다. --fail-coverage-below로 최소 커버리지 임계값을 지정할 수 있고(커밋 4ae7b87), 커버리지 누락 및 미평가 컨트롤도 명시적으로 리포트됩니다(커밋 5876d2b). 두 스캔 리포트를 비교하는 kubescape diff 명령도 새로 생겼습니다(커밋 00682ee). 이전에는 리소스 수집이 일부 실패해도 조용히 통과했던 CI 게이트에 --fail-coverage-below를 추가하고, kubescape diff로 스캔 간 보안 상태 변화를 추적하세요.
주요 변경 (6)
- GVR(리소스 타입) 일부 수집 실패를 조용히 무시하지 않고 표면화하며, ScanCoverage가 실패·미평가 컨트롤을 반영합니다
- CI 커버리지 게이트용 --fail-coverage-below 플래그와 리포트 비교용 kubescape diff 명령이 새로 추가됐습니다
- 리소스 이름, 네임스페이스, 라벨, 어노테이션, 컨테이너 메타데이터를 가리는 --hide 플래그와 익명화 파이프라인이 새로 생겼습니다
- fix 명령이 이제 이미지 푸시에 명시적 opt-in을 요구합니다 (이전에는 기본으로 푸시했습니다)
- Prometheus 출력 관련 수정 다수: 누락된 HELP/TYPE 헤더 추가, score/metrics 출력 writer 경로 수정, 중복 헤더 제거
- K8s 리소스 수집을 병렬화해 성능을 개선했고 TimedCache의 TOCTOU 레이스 컨디션을 고쳤습니다