Red Hat Summit14.2. 脆弱性の確認と対処
脆弱性管理 機能は、RHACS によって検出された脆弱性を表示および管理する方法を提供します。一般的な脆弱性管理タスクには、脆弱性の特定と優先順位付け、脆弱性の修復、および新しい脅威の監視が含まれます。
脆弱性の特定に使用されるソースの詳細は、脆弱性データソース を参照してください。
これまで、RHACS では、システムで検出された脆弱性を脆弱性管理ダッシュボードに表示していました。このダッシュボードは RHACS 4.5 で非推奨となり、今後のリリースで削除される予定です。
ダッシュボードの詳細は、脆弱性管理ダッシュボードの使用 を参照してください。
現在、脆弱性情報は Vulnerability Management
14.2.1. RHACS ポータルで脆弱性管理データを表示する
リリース 4.7 以降、RHACS では検出した脆弱性のデータを再編成し、ユーザーワークロードとノードの脆弱性、プラットフォームの脆弱性などのカテゴリーごとに脆弱性データを分離しました。
Vulnerability Management メニューの Results ページには脆弱性データが表示されます。ページ上部のタブをクリックすると、脆弱性データをカテゴリー別に表示できます。タブには次のカテゴリーが含まれます。
- User workloads
- このタブには、デプロイしたシステム内のワークロードとイメージに影響を与える脆弱性に関する情報が表示されます。これらのワークロードはユーザーによってデプロイおよび管理されるため、ユーザーワークロード と呼ばれます。
- Platform
このタブには、RHACS が プラットフォーム に関連していると特定した脆弱性に関する情報 (OpenShift プラットフォームとレイヤードサービスがデプロイするワークロードおよびイメージの脆弱性など) が表示されます。RHACS は正規表現パターンを使用してワークロードの namespace を調べ、プラットフォームコンポーネントに属するワークロードを識別します。たとえば、現在、RHACS は次の namespace の脆弱性をプラットフォームに属するものとして識別します。
-
OpenShift Container Platform: namespace は
openshift-またはkube-で始まります レイヤード製品:
- namespace は rhacs-operator で始まります。
- namespace は open-cluster-management で始まります。
-
namespace は、
stackrox、multicluster-engine、aap、またはhiveです。
-
サードパーティーパートナー: namespace は
nvidia-gpu-operatorです。
-
OpenShift Container Platform: namespace は
- Nodes
- このタブには、ユーザーマネージドおよびプラットフォームのワークロードとイメージを含む、ノード全体の脆弱性が表示されます。
- Virtual machines
- このタブには、すべての仮想マシン (VM) と、それらに対して発見された脆弱性が表示されます。
- More views
このメニューでは、次のビューを含む脆弱性情報を表示するための追加の方法にアクセスできます。
- All vulnerable images
- Inactive images
- Images without CVEs
- Kubernetes components
14.2.1.1. ユーザーワークロードの脆弱性の表示
Vulnerability Management
User workload vulnerabilities ページでは、脆弱性のあるイメージとデプロイメントを表示し、イメージ、デプロイメント、namespace、クラスター、CVE、コンポーネント、コンポーネントソースでフィルタリングできます。
手順
-
RHACS ポータルで、Vulnerability Management
Results に移動します。 - User Workloads タブを選択します。デフォルトでは、Observed タブが選択されています。
オプション: 観察された脆弱性、または延期された脆弱性や誤検知としてマークされた脆弱性の表示を選択できます。次のいずれかのタブをクリックします。
- Observed: RHACS がユーザーワークロードで観察した脆弱性をリスト表示します。
- Deferred: 観察されたが、例外管理ワークフローで延期リクエストが送信され承認された脆弱性をリスト表示します。
- False positives: 観察されたが例外管理ワークフローで誤検知として識別された脆弱性をリスト表示します。
オプション: 次のオプションを選択して、結果のリストを絞り込むことができます。
- Prioritize by namespace view: リスクの優先度に従って並べ替えられた namespace のリストを表示します。このビューを使用すると、最も重要な領域をすばやく特定して対処できます。このビューで、テーブル行の <number> deployments をクリックすると、脆弱性の検出ビューに戻り、選択した namespace のデプロイメントのみを表示するフィルターが適用されます。
- Default filters: このページのすべてのビューに自動的に適用される CVE 重大度と CVE ステータスのフィルターを選択できます。これらのフィルターは、RHACS Web ポータルの別のセクション、またはブックマークされた URL からページにアクセスするときに適用されます。フィルターはブラウザーのローカルストレージに保存されます。
たとえば特定の名前付き CVE を検索するために、エンティティー別に結果リストをフィルタリングするには、適切なフィルターと属性を選択します。
複数のエンティティーと属性を選択するには、右矢印アイコンをクリックして別の条件を追加します。必要に応じて、テキストなどの適切な情報を入力するか、日付またはオブジェクトを選択します。
フィルターのエンティティーと属性を次の表に示します。
注記Filtered view アイコンは、表示された結果が選択した条件に基づいてフィルターされたことを示します。Clear filters をクリックしてすべてのフィルターを削除することも、個々のフィルターをクリックして削除することもできます。
Expand 表14.1 フィルターオプション エンティティー 属性 イメージ
- Name: イメージの名前。
- Operating system: イメージのオペレーティングシステム。
- Tag: イメージのタグ。
- Label: イメージのラベル。
- Registry: イメージが配置されているレジストリー。
CVE
- Name: CVE の名前。
- Discovered time: RHACS が CVE を検出した日付。
CVSS: CVE の重大度。
CVE の重大度レベルには次の値が関連付けられています。
- is greater than
- is greater than or equal to
- is equal to
- is less than or equal to
- is less than
- EPSS 確率: Exploit Prediction Scoring System (EPSS) に基づく、脆弱性が悪用される確率。この EPSS データは、今後 30 日間でこの脆弱性の悪用が観測される確率の推定値 (パーセンテージ) を示します。EPSS は、パートナーが観測した悪用活動のデータを収集しますが、この場合の悪用活動とは悪用が成功したことを意味するものではありません。EPSS スコアは、CVE の経過時間などの 他の情報と併せて 単一のデータポイントとして使用することで、対処する脆弱性の優先順位付けに役立ちます。詳細は、RHACS と EPSS を参照してください。
Image Component
-
Name: イメージコンポーネントの名前 (例:
activerecord-sql-server-adapter)。 Source:
- OS
- Python
- Java
- Ruby
- Node.js
- Go
- Dotnet Core Runtime
- Infrastructure
-
Version: イメージコンポーネントのバージョン (例:
3.4.21)。これを使用すると、たとえばコンポーネント名と組み合わせて、特定のバージョンのコンポーネントを検索できます。 -
Layer type: レイヤーがアプリケーションに属するか、ベースイメージに属するかを示します。ベースイメージのレイヤーは、既知のベースイメージから構築されたと検出されたイメージに対してのみ表示されます。既知のベースイメージは、Platform Configuration
Base Images で設定されます。
Deployment
- Name: デプロイメントの名前。
- Label: デプロイメントのラベル。
- Annotation: デプロイメントのアノテーション。
- Status: デプロイメントが非アクティブかアクティブかを示します。
Namespace
-
ID: Kubernetes によって作成された namespace の
metadata.uid。 - Name: namespace の名前。
- Label: namespace のラベル。
- Annotation: namespace のアノテーション。
Cluster
- ID: 英数字で示されるクラスター ID。RHACS が追跡目的で割り当てる内部識別子です。
- Name: クラスターの名前。
- Label: クラスターのラベル。
- Type: クラスターのタイプ (例: OCP)。
- Platform type: プラットフォームタイプ (例: OpenShift 4 クラスター)。
- CVE severity: 1 つ以上のレベルを選択できます。
- CVE status: Fixable または Not fixable を選択できます。
必要なデータを表示するには、次のいずれかのタブをクリックします。
- <number> CVEs: CVE 別に脆弱性を表示します
- <number> Images: 検出された脆弱性が含まれるイメージを表示します。
- <number> Deployments: 検出された脆弱性が含まれるデプロイメントを表示します。
オプション: CVE に関連付けられたコンポーネントおよびアドバイザリーデータを表示するには、適切な方法を選択します。
CVE リストから CVE に関連付けられたコンポーネントおよびアドバイザリーデータを表示するには、次の手順を実行します。
- <number> CVEs タブをクリックします。
CVE のリストで、CVE をクリックして、次のいずれかのタスクを実行します。
イメージに関連付けられたコンポーネントおよびアドバイザリーデータを表示するには、以下を実行します。
- <number> Images タブをクリックします。
イメージを展開します。
コンポーネントデータは Component 列に、アドバイザリーデータは Advisory 列に表示されます。
デプロイメントに関連付けられたコンポーネントおよびアドバイザリーデータを表示するには、以下を実行します。
- <number> Deployments タブをクリックします。
デプロイメントを展開します。
コンポーネントデータは Component 列に、アドバイザリーデータは Advisory 列に表示されます。
イメージのリストから CVE に関連付けられたコンポーネントおよびアドバイザリーデータを表示するには、次の手順を実行します。
- <number> Images タブをクリックします。
- イメージのリストで、イメージをクリックします。
CVE に関連付けられているコンポーネントおよびアドバイザリーデータを表示するには、CVE を展開します。
コンポーネントデータは Component 列に、アドバイザリーデータは Advisory 列に表示されます。
デプロイメントのリストから CVE に関連付けられたコンポーネントおよびアドバイザリーデータを表示するには、次の手順を実行します。
- <number> Deployments タブをクリックします。
- デプロイメントのリストで、デプロイメントをクリックします。
CVE に関連付けられているコンポーネントおよびアドバイザリーデータを表示するには、CVE を展開します。
コンポーネントデータは Component 列に、アドバイザリーデータは Advisory 列に表示されます。
オプション: User Workloads タブの情報を再編成する場合は、適切な方法を選択します。
- テーブルを昇順または降順で並べ替えるには、列見出しを選択します。
テーブルに表示するカテゴリーを選択するには、次の手順を実行します。
- Columns をクリックします。
列を管理するための適切な方法を選択します。
- すべてのカテゴリーを表示するには、Select all をクリックします。
- デフォルトのカテゴリーにリセットするには、Reset to default をクリックします。
- 選択したカテゴリーのみを表示するには、表示するカテゴリーを 1 つ以上選択し、Save をクリックします。
結果のリストで、CVE、イメージ名、またはデプロイメント名をクリックすると、項目に関する詳細情報が表示されます。たとえば、項目タイプに応じて、次の情報を表示できます。
- CVE が修正可能かどうか
- イメージがアクティブかどうか
- CVE を含むイメージの Dockerfile 行
- Red Hat の CVE およびその他の CVE データベースに関する情報への外部リンク
14.2.1.2. プラットフォームの脆弱性の表示
Platform vulnerabilities ページには、RHACS が プラットフォーム に関連していると特定した脆弱性 (OpenShift Platform やレイヤードサービスで使用されるワークロードやイメージの脆弱性など) に関する情報が表示されます。
手順
-
RHACS ポータルで、Vulnerability Management
Results に移動します。 - Platform タブを選択します。デフォルトでは、Observed タブが選択されています。
オプション: 観察された脆弱性、または延期された脆弱性や誤検知としてマークされた脆弱性の表示を選択できます。次のいずれかのタブをクリックします。
- Observed: RHACS によりプラットフォームのワークロードとイメージで観察された脆弱性をリスト表示します。
- Deferred: 観察されたが、例外管理ワークフローで延期リクエストが送信され承認された脆弱性をリスト表示します。
- False positives: 観察されたが例外管理ワークフローで誤検知として識別された脆弱性をリスト表示します。
オプション: 次のオプションを選択して、結果のリストを絞り込むことができます。
- Prioritize by namespace view: リスクの優先度に従って並べ替えられた namespace のリストを表示します。このビューを使用すると、最も重要な領域をすばやく特定して対処できます。このビューで、テーブル行の <number> deployments をクリックすると、プラットフォームの脆弱性ビューに戻り、選択した namespace のデプロイメントのみを表示するフィルターが適用されます。
- Default filters: このページのすべてのビューに自動的に適用される CVE 重大度と CVE ステータスのフィルターを選択できます。これらのフィルターは、RHACS Web ポータルの別のセクション、またはブックマークされた URL からページにアクセスするときに適用されます。フィルターはブラウザーのローカルストレージに保存されます。
たとえば特定の名前付き CVE を検索するために、エンティティー別に結果リストをフィルタリングするには、適切なフィルターと属性を選択します。
複数のエンティティーと属性を選択するには、右矢印アイコンをクリックして別の条件を追加します。必要に応じて、テキストなどの適切な情報を入力するか、日付またはオブジェクトを選択します。
フィルターのエンティティーと属性を次の表に示します。
注記Filtered view アイコンは、表示された結果が選択した条件に基づいてフィルターされたことを示します。Clear filters をクリックしてすべてのフィルターを削除することも、個々のフィルターをクリックして削除することもできます。
Expand 表14.2 フィルターオプション エンティティー 属性 イメージ
- Name: イメージの名前。
- Operating system: イメージのオペレーティングシステム。
- Tag: イメージのタグ。
- Label: イメージのラベル。
- Registry: イメージが配置されているレジストリー。
CVE
- Name: CVE の名前。
- Discovered time: RHACS が CVE を検出した日付。
CVSS: CVE の重大度。
CVE の重大度レベルには次の値が関連付けられています。
- is greater than
- is greater than or equal to
- is equal to
- is less than or equal to
- is less than
- EPSS 確率: Exploit Prediction Scoring System (EPSS) に基づく、脆弱性が悪用される確率。この EPSS データは、今後 30 日間でこの脆弱性の悪用が観測される確率の推定値 (パーセンテージ) を示します。EPSS は、パートナーが観測した悪用活動のデータを収集しますが、この場合の悪用活動とは悪用が成功したことを意味するものではありません。EPSS スコアは、CVE の経過時間などの 他の情報と併せて 単一のデータポイントとして使用することで、対処する脆弱性の優先順位付けに役立ちます。詳細は、RHACS と EPSS を参照してください。
Image Component
-
Name: イメージコンポーネントの名前 (例:
activerecord-sql-server-adapter)。 Source:
- OS
- Python
- Java
- Ruby
- Node.js
- Go
- Dotnet Core Runtime
- Infrastructure
-
Version: イメージコンポーネントのバージョン (例:
3.4.21)。これを使用すると、たとえばコンポーネント名と組み合わせて、特定のバージョンのコンポーネントを検索できます。
Deployment
- Name: デプロイメントの名前。
- Label: デプロイメントのラベル。
- Annotation: デプロイメントのアノテーション。
- Status: デプロイメントが非アクティブかアクティブかを示します。
Namespace
-
ID: Kubernetes によって作成された namespace の
metadata.uid。 - Name: namespace の名前。
- Label: namespace のラベル。
- Annotation: namespace のアノテーション。
Cluster
- ID: 英数字で示されるクラスター ID。RHACS が追跡目的で割り当てる内部識別子です。
- Name: クラスターの名前。
- Label: クラスターのラベル。
- Type: クラスターのタイプ (例: OCP)。
- Platform type: プラットフォームタイプ (例: OpenShift 4 クラスター)。
- CVE severity: 1 つ以上のレベルを選択できます。
- CVE status: Fixable または Not fixable を選択できます。
必要なデータを表示するには、次のいずれかのタブをクリックします。
- <number> CVEs: CVE 別に脆弱性を表示します
- <number> Images: 検出された脆弱性が含まれるイメージを表示します。
- <number> Deployments: 検出された脆弱性が含まれるデプロイメントを表示します。
オプション: CVE に関連付けられたコンポーネントおよびアドバイザリーデータを表示するには、適切な方法を選択します。
CVE リストから CVE に関連付けられたコンポーネントおよびアドバイザリーデータを表示するには、次の手順を実行します。
- <number> CVEs タブをクリックします。
CVE のリストで、CVE をクリックして、次のいずれかのタスクを実行します。
イメージに関連付けられたコンポーネントおよびアドバイザリーデータを表示するには、以下を実行します。
- <number> Images タブをクリックします。
イメージを展開します。
コンポーネントデータは Component 列に、アドバイザリーデータは Advisory 列に表示されます。
デプロイメントに関連付けられたコンポーネントおよびアドバイザリーデータを表示するには、以下を実行します。
- <number> Deployments タブをクリックします。
デプロイメントを展開します。
コンポーネントデータは Component 列に、アドバイザリーデータは Advisory 列に表示されます。
イメージのリストから CVE に関連付けられたコンポーネントおよびアドバイザリーデータを表示するには、次の手順を実行します。
- <number> Images タブをクリックします。
- イメージのリストで、イメージをクリックします。
CVE に関連付けられているコンポーネントおよびアドバイザリーデータを表示するには、CVE を展開します。
コンポーネントデータは Component 列に、アドバイザリーデータは Advisory 列に表示されます。
デプロイメントのリストから CVE に関連付けられたコンポーネントおよびアドバイザリーデータを表示するには、次の手順を実行します。
- <number> Deployments タブをクリックします。
- デプロイメントのリストで、デプロイメントをクリックします。
CVE に関連付けられているコンポーネントおよびアドバイザリーデータを表示するには、CVE を展開します。
コンポーネントデータは Component 列に、アドバイザリーデータは Advisory 列に表示されます。
オプション: User Workloads タブの情報を再編成する場合は、適切な方法を選択します。
- テーブルを昇順または降順で並べ替えるには、列見出しを選択します。
テーブルに表示するカテゴリーを選択するには、次の手順を実行します。
- Columns をクリックします。
列を管理するための適切な方法を選択します。
- すべてのカテゴリーを表示するには、Select all をクリックします。
- デフォルトのカテゴリーにリセットするには、Reset to default をクリックします。
- 選択したカテゴリーのみを表示するには、表示するカテゴリーを 1 つ以上選択し、Save をクリックします。
結果のリストで、CVE、イメージ名、またはデプロイメント名をクリックすると、項目に関する詳細情報が表示されます。たとえば、項目タイプに応じて、次の情報を表示できます。
- CVE が修正可能かどうか
- イメージがアクティブかどうか
- CVE を含むイメージの Dockerfile 行
- Red Hat の CVE およびその他の CVE データベースに関する情報への外部リンク
14.2.1.3. ノードの脆弱性の表示
RHACS を使用すると、ノード内の脆弱性を特定できます。特定される脆弱性は次のとおりです。
- Kubernetes コアコンポーネントの脆弱性
- Docker、CRI-O、runC、containerd などのコンテナーランタイムの脆弱性
RHACS がスキャンできるオペレーティングシステムの詳細は、「サポート対象オペレーティングシステム」を参照してください。
RHACS は現在、StackRox Scanner と Scanner V4 を使用したノードのスキャンをサポートしています。設定されているスキャナーに応じて、脆弱性のリストに異なる結果が表示される場合があります。詳細は、「StackRox Scanner と Scanner V4 のスキャン結果の違いについて」を参照してください。
手順
-
RHACS ポータルで、Vulnerability Management
Results に移動します。 - Nodes タブを選択します。
- オプション: このページには、観察された CVE のリストがデフォルトで表示されます。Show snoozed CVEs をクリックして表示します。
オプション: CVE をエンティティー別にフィルタリングするには、適切なフィルターと属性を選択します。フィルタリング条件をさらに追加するには、次の手順に従います。
- リストからエンティティーまたは属性を選択します。
- 必要に応じて、テキストなどの適切な情報を入力するか、日付またはオブジェクトを選択します。
- 右矢印アイコンをクリックします。
オプション: 追加のエンティティーと属性を選択し、右矢印アイコンをクリックして追加します。フィルターのエンティティーと属性を次の表に示します。
Expand 表14.3 フィルターオプション エンティティー 属性 ノード
- Name: ノードの名前。
- Operating system: ノードのオペレーティングシステム (例: Red Hat Enterprise Linux (RHEL))。
- Label: ノードのラベル。
- Annotation: ノードのアノテーション。
- Scan time: ノードのスキャン日。
CVE
- Name: CVE の名前。
- Discovered time: RHACS が CVE を検出した日付。
CVSS: CVE の重大度。
CVE の重大度レベルには次の値が関連付けられています。
- is greater than
- is greater than or equal to
- is equal to
- is less than or equal to
- is less than
Node Component
- Name: コンポーネントの名前。
-
Version: コンポーネントのバージョン (例:
4.15.0-2024)。これを使用すると、たとえばコンポーネント名と組み合わせて、特定のバージョンのコンポーネントを検索できます。
Cluster
- ID: 英数字で示されるクラスター ID。RHACS が追跡目的で割り当てる内部識別子です。
- Name: クラスターの名前。
- Label: クラスターのラベル。
- Type: クラスターのタイプ (例: OCP)。
- Platform type: プラットフォームのタイプ (例: OpenShift 4 クラスター)。
オプション: 結果のリストを絞り込むには、次のいずれかのタスクを実行します。
- CVE severity をクリックし、1 つ以上のレベルを選択します。
- CVE status をクリックし、Fixable または Not fixable を選択します。
データを表示するには、次のいずれかのタブをクリックします。
- <number> CVEs: すべてのノードに影響を与えるすべての CVE のリストを表示します。
- <number> Nodes: CVE が含まれるノードのリストを表示します。
- ノードの詳細と、そのノードの CVSS スコアと修正可能な CVE に基づく CVE 情報を表示するには、ノードのリストでノード名をクリックします。
14.2.1.3.1. ノードの脆弱性の特定を無効にする
ノード内の脆弱性の特定はデフォルトで有効になっています。これは RHACS ポータルから無効にできます。
手順
-
RHACS ポータルで、Platform Configuration
Integrations に移動します。 - Image Integrations セクションで StackRox Scanner を選択します。
- スキャナーのリストから StackRox スキャナーを選択して詳細を表示します。
- Edit をクリックします。
- イメージスキャナーのみを使用し、ノードスキャナーを使用しない場合は、Image Scanner をクリックします。
- Save をクリックします。
14.2.1.4. 仮想マシンの脆弱性の表示
Vulnerability Management
手順
-
RHACS ポータルで、Vulnerability Management
Results に移動します。 -
Virtual Machines タブを選択します。検出されたすべての仮想マシンと脆弱性が表に表示されます。Scanned packages 列は、
roxagentが実行されているかどうか、およびパッケージが正しくインデックス化されているかどうかを示します。
14.2.1.5. 脆弱性管理の追加ビューへのアクセス
More views タブでは、以下のビューを含め、システムの脆弱性を表示する追加の方法が提供されます。
- All vulnerable images: ユーザーワークロードの脆弱性、プラットフォームの脆弱性、非アクティブなイメージの脆弱性が同じページに表示されます。
- Inactive images: 監視対象のイメージと、現在ワークロードとしてデプロイされていないイメージの脆弱性が表示されます。イメージの脆弱性は、イメージ保持設定に基づき報告されます。
- Images without CVEs: CVE が確認されていないイメージとワークロードが表示されます。「確認された CVE が含まれていないイメージとデプロイメントを分析する」を参照してください。
- Kubernetes components: 基盤となる Kubernetes 構造に影響を与える脆弱性が表示されます。
14.2.1.5.1. 脆弱なイメージをすべて表示する
ユーザーワークロードの脆弱性、プラットフォームの脆弱性、非アクティブなイメージの脆弱性のリストを同じページで表示できます。
手順
-
RHACS ポータルで、Vulnerability Management
Results に移動します。 - More Views をクリックし、All vulnerable images を選択します。
オプション: 観察された脆弱性、または延期された脆弱性や誤検知としてマークされた脆弱性の表示を選択できます。次のいずれかのタブをクリックします。
- Observed: RHACS により、すべてのイメージとワークロードで観察された脆弱性をリスト表示します。
- Deferred: 観察されたが、例外管理ワークフローで延期リクエストが送信され承認された脆弱性をリスト表示します。
- False positives: 観察されたが例外管理ワークフローで誤検知として識別された脆弱性をリスト表示します。
オプション: 次のオプションを選択して、結果のリストを絞り込むことができます。
- Prioritize by namespace view: リスクの優先度に従って並べ替えられた namespace のリストを表示します。このビューを使用すると、最も重要な領域をすばやく特定して対処できます。このビューで、テーブル行の <number> deployments をクリックすると、すべての脆弱なイメージのビューに戻り、選択した namespace のデプロイメントのみを表示するフィルターが適用されます。
- Default filters: このページのすべてのビューに自動的に適用される CVE 重大度と CVE ステータスのフィルターを選択できます。これらのフィルターは、RHACS Web ポータルの別のセクション、またはブックマークされた URL からページにアクセスするときに適用されます。フィルターはブラウザーのローカルストレージに保存されます。
必要なデータを表示するには、次のいずれかのタブをクリックします。
- <number> CVEs: CVE 別に脆弱性を表示します
- <number> Images: 検出された脆弱性が含まれるイメージを表示します。
- <number> Deployments: 検出された脆弱性が含まれるデプロイメントを表示します。
オプション: CVE に関連付けられたコンポーネントおよびアドバイザリーデータを表示するには、適切な方法を選択します。
CVE リストから CVE に関連付けられたコンポーネントおよびアドバイザリーデータを表示するには、次の手順を実行します。
- <number> CVEs タブをクリックします。
CVE のリストで、CVE をクリックして、次のいずれかのタスクを実行します。
イメージに関連付けられたコンポーネントおよびアドバイザリーデータを表示するには、以下を実行します。
- <number> Images タブをクリックします。
イメージを展開します。
コンポーネントデータは Component 列に、アドバイザリーデータは Advisory 列に表示されます。
デプロイメントに関連付けられたコンポーネントおよびアドバイザリーデータを表示するには、以下を実行します。
- <number> Deployments タブをクリックします。
デプロイメントを展開します。
コンポーネントデータは Component 列に、アドバイザリーデータは Advisory 列に表示されます。
イメージのリストから CVE に関連付けられたコンポーネントおよびアドバイザリーデータを表示するには、次の手順を実行します。
- <number> Images タブをクリックします。
- イメージのリストで、イメージをクリックします。
CVE に関連付けられているコンポーネントおよびアドバイザリーデータを表示するには、CVE を展開します。
コンポーネントデータは Component 列に、アドバイザリーデータは Advisory 列に表示されます。
デプロイメントのリストから CVE に関連付けられたコンポーネントおよびアドバイザリーデータを表示するには、次の手順を実行します。
- <number> Deployments タブをクリックします。
- デプロイメントのリストで、デプロイメントをクリックします。
CVE に関連付けられているコンポーネントおよびアドバイザリーデータを表示するには、CVE を展開します。
コンポーネントデータは Component 列に、アドバイザリーデータは Advisory 列に表示されます。
オプション: User Workloads タブの情報を再編成する場合は、適切な方法を選択します。
- テーブルを昇順または降順で並べ替えるには、列見出しを選択します。
- テーブルをフィルタリングするには、フィルターバーを使用します。
テーブルに表示するカテゴリーを選択するには、次の手順を実行します。
- Columns をクリックします。
列を管理するための適切な方法を選択します。
- すべてのカテゴリーを表示するには、Select all をクリックします。
- デフォルトのカテゴリーにリセットするには、Reset to default をクリックします。
- 選択したカテゴリーのみを表示するには、表示するカテゴリーを 1 つ以上選択し、Save をクリックします。
たとえば特定の名前付き CVE を検索するために、エンティティー別に結果リストをフィルタリングするには、適切なフィルターと属性を選択します。
複数のエンティティーと属性を選択するには、右矢印アイコンをクリックして別の条件を追加します。必要に応じて、テキストなどの適切な情報を入力するか、日付またはオブジェクトを選択します。
フィルターのエンティティーと属性を次の表に示します。
Expand 表14.4 CVE のフィルタリング エンティティー 属性 イメージ
- Name: イメージの名前。
- Operating system: イメージのオペレーティングシステム。
- Tag: イメージのタグ。
- Label: イメージのラベル。
- Registry: イメージが配置されているレジストリー。
CVE
- Name: CVE の名前。
- Discovered time: RHACS が CVE を検出した日付。
CVSS: CVE の重大度。
CVE の重大度レベルには次の値が関連付けられています。
- is greater than
- is greater than or equal to
- is equal to
- is less than or equal to
- is less than
- EPSS 確率: Exploit Prediction Scoring System (EPSS) に基づく、脆弱性が悪用される確率。この EPSS データは、今後 30 日間でこの脆弱性の悪用が観測される確率の推定値 (パーセンテージ) を示します。EPSS は、パートナーが観測した悪用活動のデータを収集しますが、この場合の悪用活動とは悪用が成功したことを意味するものではありません。EPSS スコアは、CVE の経過時間などの 他の情報と併せて 単一のデータポイントとして使用することで、対処する脆弱性の優先順位付けに役立ちます。詳細は、RHACS と EPSS を参照してください。
Image Component
-
Name: イメージコンポーネントの名前 (例:
activerecord-sql-server-adapter)。 Source:
- OS
- Python
- Java
- Ruby
- Node.js
- Go
- Dotnet Core Runtime
- Infrastructure
-
Version: イメージコンポーネントのバージョン (例:
3.4.21)。これを使用すると、たとえばコンポーネント名と組み合わせて、特定のバージョンのコンポーネントを検索できます。
Deployment
- Name: デプロイメントの名前。
- Label: デプロイメントのラベル。
- Annotation: デプロイメントのアノテーション。
- Status: デプロイメントが非アクティブかアクティブかを示します。
Namespace
-
ID: Kubernetes によって作成された namespace の
metadata.uid。 - Name: namespace の名前。
- Label: namespace のラベル。
- Annotation: namespace のアノテーション。
Cluster
- ID: 英数字で示されるクラスター ID。RHACS が追跡目的で割り当てる内部識別子です。
- Name: クラスターの名前。
- Label: クラスターのラベル。
- Type: クラスターのタイプ (例: OCP)。
- Platform type: プラットフォームタイプ (例: OpenShift 4 クラスター)。
- CVE severity: 1 つ以上のレベルを選択できます。
- CVE status: Fixable または Not fixable を選択できます。
Filtered view アイコンは、表示された結果が選択した条件に基づいてフィルターされたことを示します。Clear filters をクリックしてすべてのフィルターを削除することも、個々のフィルターをクリックして削除することもできます。
結果のリストで、CVE、イメージ名、またはデプロイメント名をクリックすると、項目に関する詳細情報が表示されます。たとえば、項目タイプに応じて、次の情報を表示できます。
- CVE が修正可能かどうか
- イメージがアクティブかどうか
- CVE を含むイメージの Dockerfile 行
- Red Hat の CVE およびその他の CVE データベースに関する情報への外部リンク
14.2.1.5.2. 非アクティブなイメージのスキャン
Red Hat Advanced Cluster Security for Kubernetes (RHACS) は、すべてのアクティブな (デプロイされた) イメージを 4 時間ごとにスキャンし、イメージスキャンの結果を更新して最新の脆弱性定義を反映します。
非アクティブな (デプロイされていない) イメージを自動的にスキャンするように RHACS を設定することもできます。
手順
-
RHACS ポータルで、Vulnerability Management
Results をクリックします。 -
More Views
Inactive images をクリックします。 オプション: CVE に関連付けられたコンポーネントおよびアドバイザリーデータを表示するには、適切な方法を選択します。
CVE リストから CVE に関連付けられたコンポーネントおよびアドバイザリーデータを表示するには、次の手順を実行します。
- <number> CVEs タブをクリックします。
CVE のリストで、CVE をクリックして、次のいずれかのタスクを実行します。
イメージに関連付けられたコンポーネントおよびアドバイザリーデータを表示するには、以下を実行します。
- <number> Images タブをクリックします。
イメージを展開します。
コンポーネントデータは Component 列に、アドバイザリーデータは Advisory 列に表示されます。
デプロイメントに関連付けられたコンポーネントおよびアドバイザリーデータを表示するには、以下を実行します。
- <number> Deployments タブをクリックします。
デプロイメントを展開します。
コンポーネントデータは Component 列に、アドバイザリーデータは Advisory 列に表示されます。
イメージのリストから CVE に関連付けられたコンポーネントおよびアドバイザリーデータを表示するには、次の手順を実行します。
- <number> Images タブをクリックします。
- イメージのリストで、イメージをクリックします。
CVE に関連付けられているコンポーネントおよびアドバイザリーデータを表示するには、CVE を展開します。
コンポーネントデータは Component 列に、アドバイザリーデータは Advisory 列に表示されます。
デプロイメントのリストから CVE に関連付けられたコンポーネントおよびアドバイザリーデータを表示するには、次の手順を実行します。
- <number> Deployments タブをクリックします。
- デプロイメントのリストで、デプロイメントをクリックします。
CVE に関連付けられているコンポーネントおよびアドバイザリーデータを表示するには、CVE を展開します。
コンポーネントデータは Component 列に、アドバイザリーデータは Advisory 列に表示されます。
- Manage watched images をクリックします。
-
Image name フィールドに、レジストリーで始まりイメージタグで終わる完全修飾イメージ名を入力します (例:
docker.io/library/nginx:latest)。 - Add image to watch list をクリックします。
オプション: 監視対象のイメージを削除するには、Manage watched images ウィンドウでイメージを見つけて、Remove watch をクリックします。
重要RHACS ポータルで、Platform Configuration
System Configuration をクリックして、データ保持設定を表示します。 ウォッチリストから削除されたイメージに関連するすべてのデータは、System Configuration ページに記載されている日数の間 RHACS ポータルに表示され続け、その期間が終了した後にのみ削除されます。
- Close をクリックして Inactive images ページに戻ります。
14.2.1.5.3. 確認された CVE が含まれていないイメージとデプロイメントを分析する
脆弱性のないイメージのリストを表示すると、RHACS は次の条件の少なくとも 1 つを満たすイメージを表示します。
- CVE がないイメージ
- CVE の検出漏れにつながるスキャナーエラーが報告されたイメージ
このリストには、実際に脆弱性を含むイメージが誤って表示される場合があります。たとえば、Scanner がイメージをスキャンでき、それが Red Hat Advanced Cluster Security for Kubernetes (RHACS) に認識されているにもかかわらず、スキャンが正常に完了しなかった場合、RHACS は脆弱性を検出できません。
このシナリオは、イメージに RHACS Scanner がサポートしていないオペレーティングシステムが含まれている場合に発生します。RHACS では、イメージリスト内のイメージにマウスを移動するか、イメージ名をクリックして詳細情報を表示すると、スキャンエラーが表示されます。
手順
-
RHACS ポータルで、Vulnerability Management
Results に移動します。 - More Views をクリックし、Images without CVEs を選択します。
たとえば特定のイメージを検索するために、エンティティー別に結果リストをフィルタリングするには、適切なフィルターと属性を選択します。
複数のエンティティーと属性を選択するには、右矢印アイコンをクリックして別の条件を追加します。必要に応じて、テキストなどの適切な情報を入力するか、日付またはオブジェクトを選択します。
フィルターのエンティティーと属性を次の表に示します。
注記Filtered view アイコンは、表示された結果が選択した条件に基づいてフィルターされたことを示します。Clear filters をクリックしてすべてのフィルターを削除することも、個々のフィルターをクリックして削除することもできます。
Expand 表14.5 フィルターオプション エンティティー 属性 イメージ
- Name: イメージの名前。
- Operating system: イメージのオペレーティングシステム。
- Tag: イメージのタグ。
- Label: イメージのラベル。
- Registry: イメージが配置されているレジストリー。
Image Component
-
Name: イメージコンポーネントの名前 (例:
activerecord-sql-server-adapter)。 Source:
- OS
- Python
- Java
- Ruby
- Node.js
- Go
- Dotnet Core Runtime
- Infrastructure
-
Version: イメージコンポーネントのバージョン (例:
3.4.21)。これを使用すると、たとえばコンポーネント名と組み合わせて、特定のバージョンのコンポーネントを検索できます。
Deployment
- Name: デプロイメントの名前。
- Label: デプロイメントのラベル。
- Annotation: デプロイメントのアノテーション。
- Status: デプロイメントが非アクティブかアクティブかを示します。
Namespace
-
ID: Kubernetes によって作成された namespace の
metadata.uid。 - Name: namespace の名前。
- Label: namespace のラベル。
- Annotation: namespace のアノテーション。
Cluster
- ID: 英数字で示されるクラスター ID。RHACS が追跡目的で割り当てる内部識別子です。
- Name: クラスターの名前。
- Label: クラスターのラベル。
- Type: クラスターのタイプ (例: OCP)。
- Platform type: プラットフォームタイプ (例: OpenShift 4 クラスター)。
必要なデータを表示するには、次のいずれかのタブをクリックします。
- <number> Images: 検出された脆弱性が含まれるイメージを表示します。
- <number> Deployments: 検出された脆弱性が含まれるデプロイメントを表示します。
オプション: ページ内の情報を再編成するには、適切な方法を選択します。
テーブルに表示するカテゴリーを選択するには、次の手順を実行します。
- Columns をクリックします。
列を管理するための適切な方法を選択します。
- すべてのカテゴリーを表示するには、Select all をクリックします。
- デフォルトのカテゴリーにリセットするには、Reset to default をクリックします。
- 選択したカテゴリーのみを表示するには、表示するカテゴリーを 1 つ以上選択し、Save をクリックします。
- テーブルを昇順または降順で並べ替えるには、列見出しを選択します。
- 結果のリストで、イメージ名またはデプロイメント名をクリックすると、項目に関する詳細情報が表示されます。
14.2.1.5.4. Kubernetes の脆弱性の表示
基盤となる Kubernetes 構造に影響を与えるクラスター内の脆弱性を表示できます。
手順
-
Vulnerability Management
Results に移動します。 - More Views をクリックし、Kubernetes components を選択します。
- <number> CVEs または <number> Clusters をクリックして CVE 別またはクラスター別に表示します。
オプション: 結果リスト内で、クラスターと CVE で結果をフィルタリングできます。エンティティーに基づき脆弱性をフィルタリングするには、適切なフィルターと属性を選択します。
複数のエンティティーと属性を選択するには、右矢印アイコンをクリックして別の条件を追加します。必要に応じて、テキストなどの適切な情報を入力するか、日付またはオブジェクトを選択します。
フィルターのエンティティーと属性を次の表に示します。
Expand 表14.6 フィルターオプション エンティティー 属性 Cluster
- ID: 英数字で示されるクラスター ID。RHACS が追跡目的で割り当てる内部識別子です。
- Name: クラスターの名前。
- Label: クラスターのラベル。
- Type: クラスターのタイプ (例: OCP)。
- Platform type: プラットフォームタイプ (例: OpenShift 4 クラスター)。
CVE
- Name: CVE の名前。
- Discovered time: RHACS が CVE を検出した日付。
CVSS: CVE の重大度。
CVE の重大度レベルには次の値が関連付けられています。
- is greater than
- is greater than or equal to
- is equal to
- is less than or equal to
- is less than
Type: CVE のタイプ:
- Kubernetes
- Istio
- OpenShift
オプション: CVE のステータスに基づいてテーブルをフィルタリングするには、CVE status ドロップダウンリストから 1 つ以上のステータスを選択します。
CVE のステータスには次の値が関連付けられています。
-
Fixable -
Not fixable
-
Filtered view アイコンは、表示された結果が選択した条件に基づいてフィルターされたことを示します。Clear filters をクリックしてすべてのフィルターを削除することも、個々のフィルターをクリックして削除することもできます。
結果リストで CVE またはクラスター名をクリックすると、その項目の詳細情報が表示されます。たとえば、項目タイプに応じて、次の情報を表示できます。
- 初回検出日
- CVE が修正可能かどうか
- Red Hat の CVE およびその他の CVE データベースに関する情報への外部リンク
14.2.1.6. CVEs タブ
CVEs では、情報がさまざまなグループに分類して表示されます。
利用可能な情報には、以下の要素が含まれます。
- CVE: それぞれが特定の脆弱性を表す Common Vulnerabilities and Exposures (CVE) の一意の識別子を表示し、詳細に追跡および分析します。
- Images by severity: 関連する脆弱性の重大度レベルに基づいてイメージをグループ化します。
- Top CVSS: イメージ全体の各 CVE の最高 CVSS スコアを表示し、影響が最も重大な脆弱性を強調表示します。
- Top NVD CVSS: National Vulnerability Database (NVD) からの重大度スコアが最も高いものを表示し、影響評価を標準化できるようにします。この情報は、Scanner V4 を使用している場合にのみ表示されます。
- EPSS 確率: Exploit Prediction Scoring System (EPSS) に基づく、脆弱性が悪用される確率。この EPSS データは、今後 30 日間でこの脆弱性の悪用が観測される確率の推定値 (パーセンテージ) を示します。EPSS は、パートナーが観測した悪用活動のデータを収集しますが、この場合の悪用活動とは悪用が成功したことを意味するものではありません。EPSS スコアは、CVE の経過時間などの 他の情報と併せて 単一のデータポイントとして使用することで、対処する脆弱性の優先順位付けに役立ちます。詳細は、RHACS と EPSS を参照してください。この情報は、Scanner V4 を使用している場合にのみ表示されます。
- Affected images: 脆弱性の範囲を評価するために、特定の CVE の影響を受けるコンテナーイメージの数を表示します。
- First discovered: 各脆弱性が環境内で最初に発見された日付を表示し、その露出期間を測定します。
- Published: CVE がいつ開示されたかを示します。
CVE に関連付けられている詳細を確認してトリアージするには、CVE をクリックします。
CVE に関連付けられた脆弱性に関する情報を示すウィンドウが開きます。
14.2.1.7. Images タブ
Image ビューは、次のグループに情報を整理します。
- Image: 各コンテナーイメージの名前または識別子を表示します。
- Operating system: イメージが使用するオペレーティングシステムを強調表示し、そのオペレーティングシステムに固有で、潜在的な脆弱性を特定するのに役立ちます。
- Deployments: イメージがアクティブに実行されているすべてのデプロイメントが表示されるため、使用状況に基づいて影響を評価し、修復の優先順位を決定できます。
- Age: イメージが使用されている期間を示し、古いイメージに関連する潜在的なリスクの情報を提供します。
- Scan time: 最後に行われたスキャンのタイムスタンプを表示します。
イメージに関連付けられた詳細を確認してトリアージするには、イメージをクリックします。
イメージに関連付けられた脆弱性に関する情報を示すウィンドウが開きます。
14.2.1.8. Deployments タブ
Deployments では、情報がさまざまなグループに分類されて表示されます。
デプロイメントの情報には、以下の要素が含まれます。
- Deployment: 各デプロイメントの名前または識別子を示します。
- Cluster: 各デプロイメントが配置されているクラスターを表示します。
- namespace: 各デプロイメントの namespace を表示します。
- Images: デプロイメントで使用されるコンテナーイメージを表示します。
- First discovered: デプロイメントに関連する脆弱性が最初に発見された日付を表示します。
デプロイメントに関連付けられた詳細を確認してトリアージするには、デプロイメントをクリックします。
デプロイメントに関連付けられた脆弱性に関する情報を示すウィンドウが開きます。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}