Kubescape é uma plataforma aberta de gerenciamento de postura de segurança Kubernetes da ARMO (projeto de incubação CNCF). Fornece análise de risco, varredura de conformidade, detecção de configuração incorreta e varredura de vulnerabilidades em IDE, pipelines CI/CD e clusters em execução.
| Command | Description |
|---|
curl -s https://raw.githubusercontent.com/kubescape/kubescape/master/install.sh | bash | Instalar versão mais recente (macOS/Linux) |
brew install kubescape | Instalar via Homebrew (macOS) |
scoop install kubescape | Instalar via Scoop (Windows) |
docker run -it kubescape/kubescape:latest kubescape --help | Executar Kubescape em Docker |
kubescape version | Exibir versão instalada |
kubescape download | Baixar frameworks e políticas |
kubescape download --frameworks | Baixar todos os frameworks |
| Command | Description |
|---|
kubescape scan | Varrer cluster atual usando kubeconfig |
kubescape scan --kubeconfig /path/to/kubeconfig | Varrer cluster com kubeconfig específico |
kubescape scan -f manifest.yaml | Varrer arquivo de manifesto YAML |
kubescape scan -f *.yaml | Varrer múltiplos arquivos de manifesto |
kubescape scan -d ./k8s-configs/ | Varrer todos os manifestos em diretório |
kubescape scan --helm /path/to/chart | Varrer gráfico Helm antes da implantação |
kubescape scan --include-namespaces default,kube-system | Varrer apenas namespaces específicos |
kubescape scan --exclude-namespaces kube-node-lease | Excluir namespaces da varredura |
kubescape scan --severity high,critical | Mostrar apenas problemas de severidade alta/crítica |
kubescape scan --pod-runtime containerd | Especificar tempo de execução de container (docker, containerd, cri-o) |
| Command | Description |
|---|
kubescape scan framework nsa | Varrer contra guia de reforço Kubernetes NSA-CISA |
kubescape scan framework cis | Varrer contra benchmark CIS Kubernetes |
kubescape scan framework mitre | Varrer contra framework MITRE ATT&CK |
kubescape scan framework pci-dss | Varrer contra conformidade PCI-DSS |
kubescape scan framework soc2 | Varrer contra conformidade SOC2 |
kubescape scan framework hipaa | Varrer contra conformidade HIPAA |
kubescape scan -f manifest.yaml -f nsa,cis,mitre | Varrer manifesto contra múltiplos frameworks |
kubescape scan --list-frameworks | Listar todos os frameworks disponíveis |
| Command | Description |
|---|
kubescape scan image gcr.io/project/image:tag | Varrer imagem de container para vulnerabilidades |
kubescape scan image --image-scan-concurrency 5 image1 image2 | Varrer múltiplas imagens concorrentemente |
kubescape scan -f manifest.yaml --include-image-scanning | Varrer manifestos e todas as imagens referenciadas |
kubescape scan image --severity critical --only-vulnerabilities | Mostrar apenas vulnerabilidades críticas |
kubescape scan image --image-registry-credentials user:pass@registry:5000 | Varrer imagens de registro privado |
kubescape scan -f manifest.yaml --image-scan-cache | Cachear varreduras de imagem para execuções repetidas |
| Command | Description |
|---|
kubescape scan -o json > report.json | Resultados de saída como JSON |
kubescape scan -o pdf > report.pdf | Gerar relatório PDF |
kubescape scan -o html > report.html | Gerar relatório HTML |
kubescape scan -o sarif > report.sarif | Saída em formato SARIF (para ferramentas CI/CD) |
kubescape scan -o pretty-json | Saída JSON formatada de forma legível |
kubescape scan --output-file report.json -o json | Salvar saída em arquivo |
kubescape scan -o json | jq '.results[] | select(.severity=="critical")' | Filtrar resultados JSON com jq |
| Command | Description |
|---|
kubescape scan --fail-threshold 80 | Falhar pipeline se escore de risco abaixo de 80 |
kubescape scan --fail-threshold 70 --severity critical | Bloquear pipeline em descobertas críticas |
kubescape scan -f manifest.yaml --fail-threshold 85 -o sarif | Gerar SARIF + bloquear em GitHub Actions |
kubescape scan --fail-on-compliance-failure | Falhar se frameworks de conformidade falharem |
kubescape scan -o json --format-by-severity | Saída agrupada por nível de severidade |
- name: Run Kubescape security scan
uses: kubescape/github-action@v2
with:
kubeconfig: ${{ secrets.KUBECONFIG }}
frameworks: nsa,cis
fail-threshold: 80
output-format: sarif
output-file: kubescape-report.sarif
- name: Upload SARIF to GitHub Security
uses: github/codeql-action/upload-sarif@v2
with:
sarif_file: kubescape-report.sarif
kubescape_scan:
stage: security
image: kubescape/kubescape:latest
script:
- kubescape scan framework nsa --fail-threshold 80 -o sarif > report.sarif
- kubescape scan framework cis --fail-threshold 75 -o json > cis-report.json
artifacts:
reports:
sast: report.sarif
paths:
- cis-report.json
stage('Security: Kubescape') {
steps {
sh '''
kubescape scan -f k8s-manifests/ \
--fail-threshold 80 \
-o sarif > kubescape-report.sarif \
-o json > kubescape-report.json
'''
archiveArtifacts artifacts: '*-report.*'
}
}
| Command | Description |
|---|
kubescape download --output-dir ./offline-data | Baixar todos os frameworks para diretório local |
kubescape download --frameworks nsa,cis --output-dir ./fw | Baixar frameworks específicos offline |
kubescape scan -f manifest.yaml --offline --frameworks-dir ./offline-data | Varrer usando frameworks baixados |
kubescape scan -d manifests/ --offline --frameworks-dir ./offline-data | Varredura de diretório offline |
| Command | Description |
|---|
kubescape config | Mostrar configuração atual |
kubescape config set <key> <value> | Definir valor de configuração |
kubescape config get <key> | Obter valor de configuração |
kubescape config -p ~/.kubescape/config | Usar caminho de arquivo de configuração personalizado |
kubescape scan -c ./custom-config.yaml | Varrer com configuração personalizada |
| Command | Description |
|---|
kubescape operator install | Instalar operador Kubescape no cluster |
kubescape operator install --namespace kubescape | Instalar operador em namespace específico |
kubescape operator uninstall | Remover operador Kubescape |
kubectl get deployment -n kubescape | Verificar instalação do operador |
kubectl logs -n kubescape -l app=kubescape-operator | Visualizar logs do operador |
kubescape operator status | Verificar status do operador |
| Command | Description |
|---|
kubescape scan --exceptions exceptions.json | Aplicar regras de exceção à varredura |
kubescape scan --enable-controls <control-id> | Habilitar controles específicos |
kubescape scan --disable-controls <control-id> | Desabilitar controles específicos |
kubescape scan --controls <id1>,<id2> | Executar apenas controles especificados |
kubescape scan --list-controls | Listar todos os controles disponíveis |
kubescape scan --list-controls --framework nsa | Listar controles do framework NSA |
{
"exceptions": [
{
"ruleID": "C-0001",
"namespace": "test-namespace",
"resources": ["deployment/test-app"],
"justification": "Development environment exemption"
}
]
}
| Command | Description |
|---|
kubescape scan --verbose | Mostrar saída de debug detalhada |
kubescape scan --log-level debug | Definir nível de logging (debug, info, warn, error) |
kubescape scan --submit | Enviar resultados de varredura para Kubescape Cloud |
kubescape scan --account <account-id> | Enviar para conta de cloud específica |
kubescape scan --keep-local | Varrer sem enviar para cloud |
kubescape scan --max-workers 10 | Controlar workers de processamento paralelo |
kubescape scan --timeout 300 | Definir tempo limite em segundos |
| Practice | Description |
|---|
| Manifestos em Controle de Versão | Sempre versionar manifestos Kubernetes; varrer antes da implantação |
| Bloquear em Escore de Risco | Definir --fail-threshold em CI/CD; usar 75-85 dependendo da tolerância a risco da org |
| Varredura Multi-Framework | Usar NSA + CIS + MITRE; abordar descobertas de maior prioridade primeiro |
| Varredura Regular de Imagem | Varrer imagens de container na cadeia de suprimentos; detectar CVEs cedo |
| Isolamento de Namespace | Usar --include-namespaces para focar varreduras; excluir namespaces do sistema |
| Offline em Ambientes Seguros | Baixar frameworks offline para clusters air-gapped |
| Monitorar ao Longo do Tempo | Rastrear escores de risco entre varreduras; investigar regressões |
| Justificação de Exceção | Documentar exceções; revisar periodicamente para remoção |
| Pré-Implantação com Helm | Executar kubescape scan --helm em gráficos antes de Helm install |
| Habilitar RBAC | Verificar se ServiceAccount tem permissões mínimas obrigatórias |
| Usar Saída SARIF | Integrar relatórios SARIF em IDE, GitHub e sistemas SIEM |
| Revisar Detalhes de Controle | Usar kubescape scan --list-controls para entender o propósito de cada controle |
