Skip to content

Kubescape

IDE からクラスタまでをカバーする Kubernetes セキュリティの OSS プラットフォーム。構成・脆弱性・ランタイムを一気通貫でスキャンする。

  • カテゴリ: Security & Compliance
  • CNCF 成熟度: Incubating
  • 言語: Go
  • ライセンス: Apache-2.0
  • リポジトリ: kubescape/kubescape
  • ドキュメント基準コミット: 8274975 (2026-06-23, master, タグ v4.0.9 の直後)

何をするものか

Kubescape は Kubernetes のセキュリティ問題をスキャンする。ワークロード・マニフェスト・Helm チャートを NSA/CISA、MITRE ATT&CK、CIS といったコンプライアンスフレームワークに照らして検査し、コンテナイメージの既知脆弱性をスキャンし、risk スコアと compliance スコアを出力する。このリポジトリの CLI がスキャンエンジン本体で、継続的な in-cluster 監視は別リポジトリ (kubescape org) の microservices 群が担う。

ARMO が開発を始めたプロジェクトで、Go で書かれている。スキャンエンジンはポリシー内容 (control ルール) をバイナリに埋め込まず、実行時に別リポジトリから取得する。そのためルールセットは CLI を再ビルドせずに更新できる。ルールは Open Policy Agent (OPA) の Rego エンジンで評価し、画像スキャンは Grype と Syft に委譲する。

スタックの中では「shift-left からランタイムまで」の位置に収まる。開発者は IDE や CI でマニフェストに対して実行し、同じプロジェクトが稼働クラスタ向けに operator と node-agent を出している。

いつ使うか

  • 名前付きフレームワーク (NSA/CISA、MITRE、CIS) に対して Kubernetes の posture を測り、risk または compliance の閾値で CI をゲートしたい。
  • マニフェスト・Helm チャート・稼働クラスタのスキャンと画像脆弱性スキャンを 1 つのツールでやりたい。
  • スキャナバイナリと独立してポリシー内容を更新したい。完全な air-gapped 運用の選択肢も欲しい。
  • ノードレベルの CIS ベンチマーク検査だけで十分なら向かない (kube-bench の方が狭く単純)。純粋なランタイム脅威検知だけなら Falco の方が専門的。

このディープダイブの構成

出典

  1. kubescape/kubescape リポジトリと GitHub API (stars/forks/license/created/release の実測値)。
  2. CNCF projects の Kubescape ページ
  3. Kubescape becomes a CNCF incubating project (CNCF ブログ)
  4. ARMO Launches Expanded Version of Kubescape (Business Wire)
  5. Kubescape 1 周年と OSS 化のアナウンス (Medium, ARMO)
  6. Kubescape 中央 ADOPTERS.md (kubescape/project-governance)
  7. Announcing Kubescape 4.0 (CNCF ブログ)
  8. Kubescape 4.0 Brings Runtime Security and AI Agent Scanning (InfoQ)
  9. Kubescape Self-Assessment (CNCF TAG Security)
  10. Kubescape Achieves CNCF Incubation Status (The New Stack)
  11. ARMO が $30M 調達 (VentureBeat)