Digitale Handlungsfähigkeit absichern mit Nubus for Business Continuity – Souveränes IAM im Stand-by-Modus.

Mehr erfahren
Toggle navigation
Get started
Univention » Newsroom & Blog » Nubus für Kubernetes 1.19 veröffentlicht

Nubus für Kubernetes 1.19 veröffentlicht

14 Apr. 2026
Ingo Steuwer
Univention Blog, Aus der Entwicklung
Univention Nubus für Kubernetes 1.19 Release

Mit der Veröffentlichung von Nubus für Kubernetes 1.19 haben wir uns gezielt auf Sicherheitsupdates konzentriert. Neben Patches für kürzlich entdeckte Schwachstellen haben wir insbesondere unsere „VEX“-Informationen deutlich erweitert, um unseren Umgang mit potenziellen Sicherheitsproblemen transparenter und für automatisierte Auswertungen besser nutzbar zu machen. Mehr zu den Hintergründen und Details erfahren Sie in diesem Blogbeitrag.

Vorbereitet für automatisierte Sicherheitsprüfungen

Um sicherzustellen, dass nur sichere Software in Kubernetes-Umgebungen betrieben wird, integrieren viele Betreiber automatisierte Sicherheitsscans in ihre Deployment-Pipelines. Diese prüfen Container-Images auf bekannte Schwachstellen und melden entsprechende Befunde. Grundlage dafür sind öffentliche Datenquellen mit bekannten CVEs (Common Vulnerabilities and Exposures) für Open-Source-Software.

In der Praxis stoßen diese automatisierten Verfahren jedoch an Grenzen: Die rein datenbankbasierte Bewertung führt häufig zu einer großen Anzahl von Fehlalarmen (False Positives), da der konkrete Nutzungskontext der betroffenen Komponenten nicht berücksichtigt wird.

Typische Ursachen dafür sind:

  • Schwachstellen, die bereits durch Patches behoben wurden, ohne dass Scanner dies erkennen
  • CVEs in (transitiven) Abhängigkeiten, deren betroffener Codepfad in Nubus gar nicht ausgeführt wird
  • generische Bewertungen ohne Bezug zur tatsächlichen Konfiguration oder Nutzung

Um die Aussagekraft dieser Scans zu verbessern und unnötige Meldungen zu reduzieren, haben wir mehrere Maßnahmen umgesetzt. Sofern dies ohne Änderungen an der Funktionalität der Produkte möglich war, haben wir Abhängigkeiten auf neuere Versionen aktualisiert – auch in Fällen, in denen die Schwachstellen nicht ausnutzbar waren.

Dort, wo Schwachstellen nicht ausnutzbar sind oder durch gezielte Patches geschlossen wurden, greift als weiterer zentraler Baustein die strukturierte Bereitstellung zusätzlicher Kontextinformationen in Form von VEX-Daten.

VEX: Kontext für Sicherheitsbewertungen

Ein wesentlicher Bestandteil der Betrachtung von gemeldeten Schwachstellen in Nubus für Kubernetes 1.19 ist die Erweiterung der im VEX (Vulnerability Exploitability eXchange) Format bereitgestellten Information.

VEX ist ein branchenüblicher, maschinenlesbarer Standard zur Beschreibung von Sicherheitsbewertungen durch Hersteller. Während klassische Sicherheitsscanner lediglich bekannte Schwachstellen (CVEs – Common Vulnerabilities and Exposures) identifizieren, fehlt ihnen häufig der Kontext, um diese korrekt einzuordnen. VEX ergänzt genau diesen Kontext, indem es beschreibt, wie mit einer Schwachstelle im konkreten Produkt umgegangen wird und ob sie tatsächlich relevant ist.

Das ist insbesondere deshalb wichtig, weil automatisierte Scans häufig auch dann Befunde liefern, wenn:

  • eine Schwachstelle bereits behoben wurde
  • sie zwar in einer Abhängigkeit vorhanden ist, aber im Produkt nicht genutzt wird
  • oder die konkrete Konfiguration nicht betroffen ist

Die in Nubus enthaltenen VEX-Informationen ermöglichen es, diese Fälle eindeutig zu kennzeichnen und die Ergebnisse von Sicherheitsscannern entsprechend zu bewerten. Details dazu sind auch im Kapitel zur Supply-Chain-Sicherheit dokumentiert. Betreiber können die bereitgestellten Daten in ihre bestehenden Security-Tools integrieren und so ihre automatisierten Prüfprozesse um die notwendige Herstellerperspektive ergänzen.

VEX wird in Nubus für Kubernetes bereits seit Version 1.16 eingesetzt, zunächst mit Fokus auf Schwachstellen mit dem Schweregrad „kritisch“. Mit Version 1.19 wurde dieser Ansatz erweitert: Zusätzlich werden nun auch alle Schwachstellen mit dem Schweregrad „hoch“ berücksichtigt, die von unseren internen Scanner-Systemen identifiziert werden.

Konkreter Nutzen für Betreiber

  • deutlich weniger Fehlalarme (False Positives) in automatisierten Sicherheitsscans
  • bessere Priorisierung tatsächlich relevanter Schwachstellen
  • Reduzierung manueller Analyse- und Prüfaufwände
  • Integration der Herstellerbewertungen in bestehende Security-Tools
  • fundiertere Entscheidungsgrundlage für Sicherheitsmaßnahmen

VEX trägt damit dazu bei, dass aus einer Vielzahl technischer Einzelfunde kontextualisierte und belastbare Sicherheitsinformationen werden.

Vereinfachter Identifier in der Provisioning API

Auch die Nubus Provisioning API, die Anwendungen und Integrationen zuverlässig über Änderungen an Benutzern, Gruppen und weiteren Objekten informiert, wurde in Version 1.19 gezielt weiterentwickelt. Im Fokus steht dabei der sogenannte „univentionObjectIdentifier“ – der zentrale, unveränderliche Identifikator eines Objekts im Nubus Directory Service.

Dieser Identifier dient als stabile Referenz für Integrationen, beispielsweise um Objekte eindeutig zuzuordnen oder Änderungen konsistent nachzuverfolgen. In der bisherigen Struktur war der Zugriff darauf jedoch nicht immer optimal: Der Identifier war zwar vorhanden, aber nicht an der intuitivsten Stelle in der API verankert. Gleichzeitig existierten mit Attributen wie entryUUID mehrere ähnliche Identifikatoren, was in der Praxis zu Unsicherheiten führen konnte – insbesondere, da entryUUID nicht garantiert unveränderlich ist.

Mit Nubus für Kubernetes 1.19 wurde dieses Modell bewusst vereinfacht und klarer strukturiert. Das zentrale Feld id enthält nun direkt den univentionObjectIdentifier und stellt damit den relevanten Identifier an der erwarteten Stelle bereit. Das bisherige Attribut bleibt aus Gründen der Abwärtskompatibilität erhalten und liefert weiterhin denselben Wert. Das Attribut entryUUID wurde hingegen entfernt, um Mehrdeutigkeiten zu vermeiden und die Nutzung klar auf einen stabilen Identifier auszurichten.

Diese Anpassung reduziert die Komplexität der API und erleichtert insbesondere die Entwicklung und Wartung von Integrationen.

Konkreter Mehrwert für Integrationen und Betrieb

  • eindeutiger, stabiler Identifier als zentrale Referenz für alle Objekte
  • direkter Zugriff über das id-Feld ohne zusätzliche Mapping-Logik
  • reduzierte Komplexität in Integrationen und Schnittstellen
  • geringeres Risiko für Fehler durch uneindeutige oder veränderliche IDs
  • klarere API-Struktur und bessere Wartbarkeit

Dadurch wird die Provisioning API insgesamt einfacher nutzbar und robuster in bestehenden Integrations- und Kubernetes-Szenarien einsetzbar.

Eine vollständige Übersicht erhalten Sie in der Dokumentation zum API-Schema.

Verfügbarkeit

Nubus für Kubernetes ist wie gewohnt über das OCI-Registry von Univention verfügbar. Installationsanleitungen finden Sie im Betriebshandbuch. Alle Details können Sie auch in den Release Notes nachlesen.

Ähnliche Beiträge

UCS Core Edition jetzt kostenfrei einsetzen!
Zum Downloadbereich
Ingo Steuwer
Ingo Steuwer
Ingo Steuwer has been working with open source software for over 20 years, with a strong focus on Identity and Access Management- as a developer, consultant, and product manager. In his current role as VP Platform and Technology at Univention GmbH, he is responsible for the company’s technical product strategy.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Produkte
Hilfe
Unternehmen
© 2026 Univention GmbH