感服务和敏感信息,例如内网 端口、k8s 组件端口等。 提权：包括 pod 内提权和 k8s 提权，pod 内提权和容器的提权类似，详 见容器安全内容。k8s 提权的方式和场景有很多，比如 RBAC 提权，还有一些 用于 k8s 提权的 Nday，比如 CVE-2018-1002105、CVE-2020-8559 等。 拒绝服务：主要从 CPU、内存、存储、网络等方面进行资源耗尽型攻击。 可以越权查看到主机相关目录信息。 云原生安全威胁分析与能力建设白皮书 40 图 13 容器逃逸结果展示 3.3k8s 权限提升攻击 3.3.1 攻击场景介绍 k8s 通过 RBAC[25]来实现用户权限管理，k8s 提供了四种 RBAC 对象，分 别 为 Role 、 ClusterRole 、 RoleBinding 和 ClusterRoleBinding 。 Role 及 ClusterRole Application Security Project 开放式 Web 应用程序安全项 目 RASP Runtime Application Self Protection 运行时应用程序自保护 RBAC Role Based Access Control 基于角色的访问控制 REST Representational State Transfer 表述性状态传递 SAST Static Application

(2周) 初识Harbor [2] – 社区 初识Harbor [3] – 整体架构 截止：v2.0 初识Harbor [4] – 功能 … 项目N 制品管理 访问控制(RBAC) Tag清理策略 Tag不可变策略 P2P预热策略 缓存策略 机器人账户 Webhooks 项目配置 项目1 项目标签管理 项目扫描器设置 项目级日志 https://github.com/goharbor/harbor/blob/master/ROADMAP.md Backup & Restore Windows Containers IAM&RBAC Networking(IPV6) 参与贡献Harbor社区 [1] End User Contributor Maintainer GitHub Issues

，有以下⼏点前置条件： 准备⼀个 Kubernetes 集群（1.16+），⽀持 TKE、Mnikube、Kind 等 已配置好 kubectl 且能访问 Kubernetes 集群 集群开启了 RBAC 安装 Visual Studio Code（1.52+） 和 Nocalhost 插件 安装 nhctl cli ⼯具（https://nocalhost.dev/installation/） 对于