3.2. Central
Central は、Red Hat によって管理される、RHACS Cloud Service のコントロールプレーンです。このサービスには次のコンポーネントが含まれています。
- Central: RHACS アプリケーション管理インターフェイスおよびサービスです。API 対話とユーザーインターフェイス (RHACS ポータル) アクセスを処理します。
- Central DB: Central DB は RHACS のデータベースで、すべてのデータ永続性を処理します。現在、PostgreSQL 13 をベースにしています。
- Scanner V4 (テクノロジープレビュー): バージョン 4.4 以降、RHACS にはコンテナーイメージをスキャンするための Scanner V4 脆弱性スキャナーが含まれています。Scanner V4 は、Clair スキャナーにも利用されている ClairCore 上に構築されています。Scanner V4 には、スキャンに使用される Indexer、Matcher、および Scanner V4 DB コンポーネントが含まれています。
- StackRox Scanner: StackRox Scanner は、RHACS のデフォルトのスキャナーです。StackRox Scanner は、Clair v2 オープンソーススキャナーのフォークから生まれました。
- Scanner-DB: このデータベースには、StackRox Scanner のデータが含まれています。
RHACS のスキャナーは、各イメージレイヤーを分析してベースオペレーティングシステムを特定し、プログラミング言語パッケージとオペレーティングシステムパッケージマネージャーによってインストールされたパッケージを識別します。スキャナーは、さまざまな脆弱性ソースからの既知の脆弱性とスキャン結果を照合します。さらに、StackRox Scanner が、ノードのオペレーティングシステムとプラットフォームの脆弱性を特定します。これらの機能は、今後のリリースで Scanner V4 に追加される予定です。
3.2.1. 脆弱性ソース
RHACS は次の脆弱性ソースを使用します。
- Alpine Security Database
- Amazon Linux Security Center で追跡されるデータ
- Debian Security Tracker
- Oracle OVAL
- Photon OVAL
- Red Hat OVAL
- Red Hat CVE Map: これは、Red Hat Container Catalog に表示されるイメージに使用されます。
- SUSE OVAL
- Ubuntu OVAL
OSV: Go、Java、Node.js (JavaScript)、Python、Ruby などの言語関連の脆弱性に使用されます。このソースは、脆弱性の CVE 番号ではなく GitHub Security Advisory (GHSA) ID を提供する場合があります。
注記NVD: ベンダーが情報を提供していない場合に情報のギャップを埋めるなど、さまざまな目的で使用されます。たとえば、Alpine は、詳細、CVSS スコア、重大度、公開日を提供していません。
注記この製品は、NVD API を使用していますが、NVD による承認や認定を受けていません。
- StackRox: アップストリームの StackRox プロジェクトは、他のソースからのデータのフォーマットやデータの欠如が原因で発見されていない可能性のある一連の脆弱性を管理しています。
Scanner V4 Indexer は次のソースを使用します。
- repository-to-cpe.json: RPM リポジトリーを関連する CPE にマッピングします。これは、RHEL ベースのイメージの脆弱性を照合するために必要です。
- container-name-repos-map.json: コンテナー名と、コンテナーの配布先のリポジトリーを照合します。