refine inspect

Signed-off-by: pixiake <guofeng@yunify.com>

Author: pixiake

.gitignore

@@ -1,6 +1,8 @@
 # OSX leaves these everywhere on SMB shares
 ._*
 
+data
+
 # OSX trash
 .DS_Store
 
@@ -42,4 +44,9 @@ kubeEyeAuditResult.csv
 !cover.out
 !go.sum
 
-*__pycache__*
+# Python cache files
+__pycache__/
+*.py[cod]
+*$py.class
+*.pyo
+*.pyc

README.md

@@ -2,21 +2,35 @@
 
 ## 概述
 
-KubeEye 是一个用于 Kubernetes 集群巡检的工具，可以帮助运维人员快速发现集群中的潜在问题和安全风险。工具基于 Streamlit 开发，提供了直观的 Web 界面，支持多种巡检方式：
-
-- 节点状态巡检（CPU、内存、磁盘、关键服务等）
-- Prometheus 指标巡检（资源监控、Pod 异常等）
-- OPA 规则合规性检查（安全配置、最佳实践等）
-
-## 功能特点
-
-- **集群信息管理**：支持配置和管理多个集群的连接信息
-- **多种巡检方式**：节点状态、Prometheus 指标、OPA 规则合规性
-- **可视化报告**：直观展示巡检结果，包括图表和详细问题说明
-- **历史记录查询**：支持查看历史巡检结果和趋势分析
-- **修复建议**：针对发现的问题提供解决方案建议
-- **敏感信息加密**：通过加密算法保护集群连接密码等敏感信息
-- **日志管理**：统一的日志系统，便于追踪和诊断问题
+KubeEye 是一个**纯观察型** Kubernetes 集群巡检工具，专注于安全地收集集群信息和发现潜在问题。工具基于 Streamlit 开发，提供直观的 Web 界面，支持多种巡检方式。
+
+**🔒 安全承诺**：KubeEye 采用严格的只读巡检策略，所有操作仅限于信息收集和状态查看，绝不执行任何修改、删除或危险操作，确保集群安全。
+
+## 核心功能
+
+- **🔒 安全第一**：强制只读模式，所有巡检命令经过严格安全检查，确保零风险
+- **📊 集群信息管理**：支持配置和管理多个集群的连接信息
+- **🔍 多种巡检方式**：节点状态、Prometheus 指标、OPA 规则合规性
+- **📈 可视化报告**：直观展示巡检结果，包括图表和详细问题说明
+- **📋 历史记录查询**：支持查看历史巡检结果和趋势分析
+- **💡 修复建议**：针对发现的问题提供解决方案建议
+- **🔐 敏感信息加密**：通过加密算法保护集群连接密码等敏感信息
+- **📝 日志管理**：统一的日志系统，便于追踪和诊断问题
+- **🛡️ 证书监控**：自动检查 kubeconfig 证书有效期，提前预警
+
+## 🔒 安全特性
+
+### 纯观察型设计
+- **只读原则**：所有巡检操作仅限于信息获取和状态查看
+- **白名单模式**：只允许明确安全的命令执行，默认拒绝所有未知命令
+- **多层安全检查**：命令执行前进行严格的安全验证
+- **审计日志**：完整记录所有操作和安全事件
+
+### 安全保障措施
+- **禁止修改操作**：严禁 `rm`、`chmod`、`systemctl restart` 等危险命令
+- **禁止写入操作**：不允许任何文件重定向、创建文件等写入行为
+- **禁止安装操作**：不允许 `apt install`、`pip install` 等软件安装
+- **强制安全模式**：无法通过配置降低安全级别
 
 ## 安装方法