数据库漏洞自动同步，KubeBlocks Addon 安全能力再升级

前言在云原生时代企业越来越多地将 MySQL、Redis、MongoDB、Kafka 等数据库和中间件部署在 Kubernetes 上。随之而来的是日益严峻的安全挑战你部署的数据库版本是否存在已知漏洞哪些 CVE 会影响当前集群如何及时获取修复建议过去即使只针对少数几款数据库运维和平台工程师也往往需要手动查阅 NVD、各厂商安全公告再逐一对照集群中的数据库版本费时费力且容易遗漏。如今建立在KubeBlocks以及KubeBlocks Enterprise平台上的数据库引擎往往多达数十款且每款引擎都有多个版本再依赖手动处理已然不现实。基于此我们为大家介绍 KubeBlocks Addon 漏洞数据库同步功能——实现数据库安全漏洞的发现与跟踪。功能介绍KubeBlocks Addon 漏洞同步功能主要由两部分组成漏洞数据库同步Addon Vulnerability Database是面向 KubeBlocks Addon 的漏洞数据库项目。它以 [CVEProject/cvelistV5](https://github.com/CVEProject/cvelistV5) 和 [NVD美国国家漏洞数据库](https://nvd.nist.gov/) 为权威数据源每天定时从两处同步并整合最新 CVE 数据并将 CVE 数据转换为标准的 [OSVOpen Source Vulnerability](https://ossf.github.io/osv-schema/) 格式方便进行处理。覆盖 KubeBlocks-Addons 和 企业版Addons 中的全部开源数据库组件。覆盖范围已支持的数据库与中间件包括关系型数据库MySQL、PostgreSQL、TiDBNoSQLMongoDB、Redis消息队列Kafka、RabbitMQ、RocketMQ其他组件ZooKeeper、Etcd、ClickHouse、InfluxDB、Qdrant、Elasticsearch 等不包含操作系统漏洞如 Debian、RedHat、非数据库类软件包以及无 CPE 信息的组件。漏洞集群扫描漏洞集群扫描功能定时扫描 ApeCloud 管理平台集群中的数据库实例关联某个CVE漏洞与影响的集群实例关联某个运行的实例与影响其的所有CVE漏洞。在管理平台中的应用漏洞数据同步与扫描完成后会在ApeCloud 管理平台的安全漏洞中心集中展示。具体包括1.按数据库引擎聚合MySQL、PostgreSQL、Redis 等各自独立展示便于按业务使用的组件筛选并按照漏洞的严重程度进行排序2.展示 CVE 详情包括漏洞描述、影响版本范围、CVSS 评分、修复版本及参考链接3.与集群版本关联结合当前集群中实际运行的数据库版本帮助判断是否存在受影响实例4.提供修复建议明确「引入版本」与「修复版本」指导升级路径5.一站式升级对于部分引擎可以联动ApeCloud 管理平台中的大/小版本升级功能实现一键升级。这样一来平台运维人员可以在一个界面完成「发现 → 评估 → 决策」的闭环无需再在多个外部站点间来回切换。实现简述数据来源与格式-数据源以 CVEProject/cvelistV5 仓库拉取 的CVE数据为基础数据源并结合NVD中较为完善的CVE数据进行数据整合。-输出格式OSV Schema业界通用的开源漏洞描述格式便于下游系统解析与集成匹配逻辑通过 CPECommon Platform Enumeration信息进行匹配配置每个 Addon 的cpe_vendor、cpe_product及可选的alias扫描 CVE 列表筛选出与 Addon 相关的漏洞示例以 ZooKeeper 的 CVE-2025-58457 为例转化后的OSV如下{affected:[{ranges:[{database_specific:{source:nvd},events:[{introduced:3.9.0},{fixed:3.9.4}],type:SEMVER}]}],database_specific:{cna_assigner:apache,cwe_ids:[CWE-280],engine:zookeeper,osv_generated_from:https://github.com/CVEProject/cvelistV5.git,product:zookeeper},details:Improper permission check in ZooKeeper AdminServer lets authorized clients to run snapshot and restore command with insufficient permissions.\n\nThis issue affects Apache ZooKeeper: from 3.9.0 before 3.9.4.\n\nUsers are recommended to upgrade to version 3.9.4, which fixes the issue.\n\nThe issue can be mitigated by disabling both commands (via admin.snapshot.enabled and admin.restore.enabled), disabling the whole AdminServer interface (via admin.enableServer), or ensuring that the root ACL does not provide open permissions. (Note that ZooKeeper ACLs are not recursive, so this does not impact operations on child nodes besides notifications from recursive watches.),id:CVE-2025-58457,modified:2025-11-04T21:13:42.037Z,published:2025-09-24T09:29:35.824Z,references:[{type:WEB,url:http://www.openwall.com/lists/oss-security/2025/09/24/10},{type:PACKAGE,url:https://github.com/CVEProject/cvelistV5.git},{type:ADVISORY,url:https://lists.apache.org/thread/r5yol0kkhx2fzw22pxk1ozwm3oc6yxrx},{type:ADVISORY,url:https://nvd.nist.gov/vuln/detail/CVE-2025-58457},{type:WEB,url:https://repo.maven.apache.org/maven2}],schema_version:1.7.3,severity:[{score:CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N,type:CVSS_V3}],summary:Apache ZooKeeper: Insufficient Permission Check in AdminServer Snapshot/Restore Commands}其中关键信息包括-idCVE-2025-58457-summaryApache ZooKeeper AdminServer 快照/恢复命令权限检查不足-affected影响 3.9.0 至 3.9.4 之前的版本修复版本为 3.9.4-severityCVSS 3.1 向量评分-referencesNVD、Apache 安全公告等链接这些结构化信息可直接被管理平台消费用于展示和告警。对平台与用户的价值维度价值时效性定期从权威源同步减少人工跟踪延迟准确性基于 CPE 的精确匹配避免误报与漏报可操作性明确影响版本与修复版本便于制定升级计划标准化OSV 格式便于与安全扫描、合规审计等系统集成对于使用 KubeBlocks 管理多数据库集群的企业而言这意味着安全漏洞的可见性与可管理性显著提升有助于满足合规要求并降低安全风险。总结数据库安全是云原生数据基础设施不可忽视的一环。Addon Vulnerability Database 通过自动化同步 CVE 数据、转换为 OSV 格式并与 ApeCloud 管理平台的安全漏洞管理打通让用户在统一界面即可掌握各数据库组件的漏洞态势并据此制定升级与加固策略。参考资料KubeBlocks 网站https://kubeblocks.io/KubeBlocks Addonshttps://github.com/apecloud/kubeblocks-addons/KubeBlocks 文档https://kubeblocks.io/docs/