Detalhamento da análise estática de manifests e Dockerfiles para identificar problemas de segurança (CKS).
Análise estática aqui significa revisar manifests (Deployments, StatefulSets, etc.) e Dockerfiles em busca de más práticas de segurança, sem rodar a aplicação. No exame CKS pode ser pedido que você liste os arquivos (ou recursos) que contêm problemas em um diretório, escrevendo os nomes em um arquivo (ex.: /opt/course/22/security-issues).
| Tipo | Exemplo de problema |
|---|---|
| Dockerfile | USER root ou ausência de USER não-root; imagem base desatualizada ou não específica (latest). |
| Deployment/Pod | Secret ou senha em command ou args em texto claro; env com senha; runAsRoot; sem readOnlyRootFilesystem onde faz sentido. |
| StatefulSet/DaemonSet | Mesmos pontos: secrets em env/command, privilégios elevados, etc. |
Ou seja: procurar por:
env: [{ name: PASS, value: "secret" }]).O enunciado pode pedir uma lista de arquivos com problemas, um por linha, em um arquivo específico:
echo Dockerfile-mysql >> /opt/course/22/security-issues
echo deployment-redis.yaml >> /opt/course/22/security-issues
echo statefulset-nginx.yaml >> /opt/course/22/security-issues
Ou usar um editor para preencher /opt/course/22/security-issues com os nomes dos arquivos que você identificou.
/opt/course/22/security-issues), um por linha.