Détection d'Évasion de Conteneur

Ce que fait cette skill

Cette skill fournit des vérifications procédurales et des exemples de code pour auditer les charges de travail Kubernetes à la recherche de vecteurs d'évasion de conteneur courants. Elle aide les ingénieurs en sécurité à détecter les mauvaises configurations — conteneurs privilégiés, capacités dangereuses (ex: CAP_SYS_ADMIN), partage de PID/Network/IPC d'hôte, montages hostPath writables et sockets Docker exposés — et identifie les pods affectés pour permettre leur remédiation.

Quand l'utiliser

À utiliser lors d'évaluations de sécurité, d'enquêtes de réponse aux incidents ou de tests de sécurité programmés dans un laboratoire ou un environnement contrôlé. Non destinée à être utilisée sur des clusters de production sans autorisation ; exécutez-la contre des clusters de test ou des exports en lecture seule si possible.

Ce qui est inclus

• Scripts : aucun script empaqueté avec le SKILL.md (has_scripts=false), mais le corps contient des exemples Python utilisant le client Python Kubernetes.
• Références : aucune référence listée dans le repo (has_references=false).
• Instructions : guide procédural clair et extraits de code pour itérer sur les pods, inspecter le securityContext des conteneurs, vérifier les volumes pour les montages de sockets docker et signaler les paramètres risqués.

Agents compatibles

Probablement utile pour les agents capables d'exécuter ou d'analyser des scripts Python et des outils Kubernetes (ex: assistants de code basés sur Copilot/Codex/GPT fournissant des extraits de code ou des conseils d'automatisation).