Kubernetes Manifest Audit

Kubernetes Manifest Audit

UnbearableDev
Этот MCP-сервер проверяет манифесты Kubernetes на уязвимости и ошибки конфигурации. Внутри него работает kube-linter — статический анализатор от StackRox / Red Hat. Сервер прогоняет манифесты через 63 проверки в семи категориях: security, availability, network, RBAC, resources, images, config. Результат — структурированный отчёт с уровнем угрозы (high / medium / low / info), ID проверки (например, privileged-container, unset-cpu-requirements), описанием и подсказкой по исправлению (remediation hint). Объект указывается с типом (kind), именем и namespace. Подходит DevOps-инженерам, которые хотят автоматизировать проверку манифестов до деплоя. Не требует установки — работает удалённо. Оплата только за вызовы (pay-per-event).
KubernetesCloud-devopsSecurity
Открыть на GitHub

Характеристики

Общее

  • СтатусСообщество
  • РазработчикUnbearableDev

Технологии

  • Языки
    Python
  • Транспорт
    streamable-http

Описание

Возможности

  • Проверить один YAML-манифест в строке: audit_manifest(yaml_content). Поддерживает многодокументные файлы с разделителем ---.
  • Запустить аудит нескольких файлов из папки: audit_directory(files). Кросс-файловые проверки работают корректно.
  • Выявить ошибки безопасности: host-pid, host-ipc, host-network, env-var-secret, run-as-non-root.
  • Найти несоответствия ресурсам: unset-cpu-requirements, unset-memory-requirements.
  • Проверить образы: latest-tag (категория images).
  • Обнаружить проблемы с доступностью: no-liveness-probe, no-readiness-probe, minimum-three-replicas, no-rolling-update-strategy.
  • Просканировать RBAC на wildcard-in-rules и cluster-admin-role-binding.
  • Получить полный каталог проверок (63 шт.) с категориями и severity командой list_checks.
  • Запросить описание и пример исправления для конкретной проверки: explain_check(check_id).

Как подключить

  1. Получите токен доступа к серверу у разработчика UnbearableDev. Сервер работает на Apify.

  2. Откройте конфигурационный файл вашего MCP-клиента. Для Claude Desktop это claude_desktop_config.json.

  3. Добавьте в раздел mcpServers:

    { "mcpServers": { "k8s-manifest-audit": { "url": "https://unbearable-dev--k8s-manifest-audit.apify.actor/mcp", "headers": { "Authorization": "Bearer " } } } }

  4. Перезапустите клиент. В списке инструментов появятся четыре команды: audit_manifest, audit_directory, list_checks, explain_check.

Примеры запросов

  • «Проверь этот манифест Deployment на уязвимости. Выдели все проблемы уровня high и medium».
  • «Найди в папке k8s все манифесты с привилегированными контейнерами и покажи их пути».
  • «Объясни, что такое dangling-service. Как его найти и исправить? Приведи пример правильного манифеста».
  • «Покажи список проверок для категории network».

Технические детали

  • Язык: Python
  • Транспорт: Streamable HTTP
  • Базовый инструмент: kube-linter (MIT, StackRox/Red Hat)
  • Цена: Pay-per-event ($0.02 за аудит, $0.005 за запрос)
  • Разработчик: UnbearableDev
  • Совместимость: Claude Desktop, Cursor, n8n, Make, Zapier

Поделиться