世界领先的开源解决方案供应商红帽公司日前发布了包含全新功能和更新的红帽高级集群安全 (RHACS) 最新版本。在去年发布的4.0主版本和RHACS云服务的基础上，红帽RHACS工程团队在2024年进一步丰富了产品功能。RHACS 4.4版本注重提高扫描结果的一致性，加强安全性管理，并引入更多自动化安全功能，从而有效减轻重复性安全任务的工作负担。

重要更新包括：

加入名为“Scanner V4”的新漏洞扫描工具，采用上游ClairCore实现一致且更全面的漏洞更新。

在技术预览版中发布了合规能力，而且未来还会推出更多功能。

CO-RE BPF成为RHACS的默认收集方法。

使用云源集成进行集群发现。

将自有数据库用作中央数据库。

构建时网络策略工具。

版本生命周期延长，包含完整支持和维护支持阶段。这一变更将ACS每个版本的生命周期从以前的6个月延长至10个月。

RHACS支持矩阵简要列出RHACS与OpenShift版本兼容性和可支持性的详细信息。

另外，不要错过多项RHACS平台的重要更新，例如：

Init-bundle图形化用户界面改进。

在ROSA托管控制平面上支持RHACS。

用于中央数据库的短期API令牌。

使用短效令牌验证AWS和GCP集成（技术预览）。

操作器生命周期更新。

增强的策略管理roxctl部署检查命令。

全新推出：统一版“Vulnerability Scanner V4”

我们隆重推出RHACS最新漏洞管理工作流的更新——全新的‘Scanner V4’。这次更新不仅是我们技术进步的一个重要标志，也展示了我们将StackRox Scanner的核心优势与红帽Quay上游Clair V4 Scanner的先进功能成功整合的成果。全新Scanner V4将带来的主要亮点包括：

一致且准确的扫描：在整个红帽产品生态系统（包括RHACS和红帽Quay）中提供可靠的漏洞扫描结果。

支持更多语言和操作系统：响应用户反馈，我们将Golang纳入语言漏洞扫描的支持范围。此外，我们将Oracle Linux、SUSE Linux Enterprise和Photon OS纳入操作系统扫描范围内。

全面的漏洞数据库来源：我们采用OSV.dev作为所支持的全部编程语言包的主要来源，这有助于提供最新的漏洞信息。

需要指出的是，所有RHACS升级和新装都将默认使用StackRox Scanner。然而，用户现在可以选择全新的Vulnerability Scanner V4，相比默认的StackRox Scanner，新版本提供了更多的兼容优势和更广的扫描范围。

RHACS新的合规能力（技术预览）

RHACS团队宣布以技术预览形式在RHACS 4.4中推出Compliance (2.0)。作为更广泛的合规工作流举措的一部分，RHACS用户将能够访问最新更新，并就他们希望在产品中看到的功能提出反馈意见。

RHACS 4.4中的Compliance (2.0)将为用户可以带来以下功能： 

Compliance Operator与RHACS更无缝的集成，从而提供统一的体验。直接通过RHACS界面进行基础架构扫描的配置、调度和执行。

在RHACS中方便地访问OpenShift Compliance Operator扫描结果，便于进行审查和分析。

预计未来的版本将包含更强大的功能，包括：

修复缺陷，并直接从RHACS仪表板导出扫描结果。

根据特定合规要求创建定制配置文件。

支持工作负载合规，推动在您的环境中实现更全面的覆盖。

CO-RE BPF成为RHACS的默认收集方法

从RHACS 4.4版本开始，默认运行时收集方法将采用eBPF CO-RE （编译一次即可随处运行），这种方法可兼容不同内核版本并实现更顺畅的升级。这种收集方法是在RHACS 4.0版本中引入的，除非有其他明确配置要求，否则，集群将在升级时无缝过渡。

通过Paladin Cloud集成发现不受保护的集群

RHACS 4.4的一个亮点是易于与红帽OpenShift Cluster Manager和Paladin Cloud集成，能够发现环境中缺乏保护的新集群。通过这种集成，RHACS现在可以提供OpenShift环境和主要云平台中全面的集群列表，包括Amazon Elastic Kubernetes Service (Amazon EKS)、Google Kubernetes Engine (Google GKE) 和Microsoft Azure Kubernetes Service (Microsoft AKS)。

使用自有PostgreSQL数据库

我们很高兴地宣布，在该版本中，用户可以使用兼容PostgreSQL的自有数据库作为RHACS中央数据库。通过这一选项，用户可以灵活地在集群内外部署PostgreSQL。无论是部署在裸机、虚拟机上，还是作为云托管服务，用户都可以根据自己的特定要求定制部署。

构建时网络策略工具

制定网络策略既复杂又耗时，红帽的客户希望有一种更简单的方法在集群中执行零信任组网。构建时网络策略工具旨在提供一种尽可能贴近开发人员的自动化网络策略创建方法，节省每个参与DevSecOps管道的人员的时间。

借助构建时网络策略工具，用户能够在本地生成网络策略，或者将其作为构建-部署管道的一部分。这种自动化通过明确定义Kubernetes集群中的网络流量而实现零信任组网。我们非常高兴地宣布，这项创新功能现已全面上线。