<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>Справочная информация on </title>
    <link>/ru2/security/reference/</link>
    <description>Recent content in Справочная информация on </description>
    <generator>Hugo -- gohugo.io</generator>
    <lastBuildDate>Wed, 01 Jul 2026 19:41:08 +0300</lastBuildDate><atom:link href="/ru2/security/reference/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>Как включить Hubble UI</title>
      <link>/ru2/security/reference/hubble-ui/</link>
      <pubDate>Wed, 01 Jul 2026 19:41:08 +0300</pubDate>
      
      <guid>/ru2/security/reference/hubble-ui/</guid>
      <description>Введение # Hubble обеспечивает наблюдение за сетевым взаимодействием между компонентами кластера и сетевой инфраструктурой. В платформе «Штурвал» сеть обеспечивается Модулем управления сетями кластера (shturval-networking, Cilium CNI).
Включение Hubble # Для включения Hubble загрузите в кластер ShturvalServicePatch (SSP) для Модуля управления сетями кластера (shturval-networking). В customvalues задайте параметры, как в примере ниже.
ShturvalServicePatch apiVersion: ops.shturval.tech/v1beta2 kind: ShturvalServicePatch metadata: name: shturval-networking-hubble spec: shturvalServiceConfigName: shturval-networking customvalues: hubble: enabled: true relay: enabled: true ui: enabled: true Загрузите манифест через импорт манифестов в интерфейсе кластера (см.</description>
    </item>
    
    <item>
      <title>Как обновить базу уязвимостей в закрытом контуре</title>
      <link>/ru2/security/reference/vuln-db-update-closed/</link>
      <pubDate>Wed, 01 Jul 2026 19:41:08 +0300</pubDate>
      
      <guid>/ru2/security/reference/vuln-db-update-closed/</guid>
      <description>В закрытом контуре кластер не имеет доступа к общедоступным реестрам и базам уязвимостей. Для актуального сканирования образов необходимо периодически обновлять базу уязвимостей через зеркало.
Обновление можно выполнить скриптом update.sh или с помощью патча.
Обновление скриптом update.sh # В скрипте update.sh необходимо заполнить переменные MIRROR_FQDN, MIRROR_USERNAME, MIRROR_PASSWORD. Значения переменных можно посмотреть на зеркале, в файле config/config.yaml. Скрипт необходимо запускать без параметров. Он может быть запущен нативно или в контейнере. Требования к серверу # Есть доступ до public.</description>
    </item>
    
    <item>
      <title>Что такое VEX</title>
      <link>/ru2/security/reference/vex/</link>
      <pubDate>Wed, 01 Jul 2026 15:33:26 +0300</pubDate>
      
      <guid>/ru2/security/reference/vex/</guid>
      <description>VEX (Vulnerability Exploitability eXchange) — формат документов, позволяющий поставщикам и операторам указывать, применима ли конкретная уязвимость (CVE) в данном продукте, компоненте или образе. Цель — уменьшить шум в отчётах сканирования: не все найденные CVE реально эксплуатируемы в вашем контексте (используемая версия пакета, отключённая функция, изолированная среда и т.п.).
VEX-документ связывает артефакт (например, образ контейнера), уязвимость (идентификатор CVE) и статус применимости (affected / not_affected / fixed и др.), при необходимости с обоснованием.</description>
    </item>
    
    <item>
      <title>Модифицирующие политики</title>
      <link>/ru2/security/reference/modify/</link>
      <pubDate>Wed, 01 Jul 2026 19:41:08 +0300</pubDate>
      
      <guid>/ru2/security/reference/modify/</guid>
      <description>Kyverno поддерживает реализацию модифицирующих политик, которые позволяют изменять объекты перед запуском, в том числе предотвращать запуск уязвимых контейнеров.
Для проверки подписей образов и блокировки контейнеров с критическими уязвимостями используется Cosign.
С помощью Cosign позволяет гарантировать, что в кластер попадают только образы, подписанные доверенными ключами. В открытом и закрытом контурах источники ключей и реестры различаются.
В открытом контуре ключи и метаданные подписей обычно загружаются из общедоступных источников (OCI-реестр, URL); в закрытом — ключи и конфигурация политик проверки подписей (например, для Cosign) должны быть доставлены в контур вручную или через утверждённый канал.</description>
    </item>
    
  </channel>
</rss>
