Kubernetes v1.35: Добавлен allowList для ограничения исполняемых файлов, вызываемых kubeconfig через плагин exec, в kuberc

Kubectl использует плагины учетных данных, исполняемые файлы, указанные в файлах kubeconfig, для аутентификации. Эта функция, хотя и полезна, вызывает опасения по поводу безопасности, поскольку эти плагины запускаются с привилегиями пользователя. Злоумышленник может использовать скомпрометированные конвейеры генерации kubeconfig для выполнения вредоносного кода. Kubernetes 1.35 представляет бета-функцию для управления этими плагинами с помощью политик плагинов учетных данных. Пользователи могут устанавливать политики в своих файлах конфигурации kuberc, чтобы контролировать, какие плагины могут запускаться. `credentialPluginPolicy` можно установить в значение `AllowAll`, `DenyAll` или `Allowlist`. Опция `Allowlist` разрешает определенные плагины, либо по полному пути, либо по базовому имени. Полные пути предпочтительны для повышения безопасности, исключая использование подстановок и шаблонов. Будущие улучшения включают проверку контрольной суммы и проверку цифровой подписи для повышения безопасности. Сообщество Kubernetes приветствует отзывы и вклад для дальнейшего улучшения этой функции безопасности. Пользователям рекомендуется участвовать в обсуждениях в каналах sig-cli и sig-auth. Это дополнение к безопасности предоставляет пользователям способ ограничить и контролировать выполнение плагинов учетных данных в их средах.