検索
サポートコンソール開発者トライアルの開始お問い合わせ

14.2. 脆弱性の確認と対処

download PDF

一般的な脆弱性管理タスクには、脆弱性の特定と優先順位付け、脆弱性の修復、および新しい脅威の監視が含まれます。

14.2.1. 脆弱性の表示

これまで、RHACS では、システムで検出された脆弱性を脆弱性管理ダッシュボードに表示していました。このダッシュボードは RHACS 4.5 で非推奨となり、今後のリリースで削除される予定です。ダッシュボードの詳細は、脆弱性管理ダッシュボードの使用 を参照してください。

Vulnerability Management Workload CVEs ページに、システム内のクラスターで実行されているアプリケーションの脆弱性に関する情報が表示されます。イメージとデプロイメント全体の脆弱性情報を表示できます。Workload CVEs ページには、脆弱性のあるイメージとデプロイメントを表示する機能や、イメージ、デプロイメント、namespace、クラスター、CVE、コンポーネント、コンポーネントソースでフィルタリングする機能など、詳細なフィルタリング機能があります。

14.2.2. ワークロードの CVE の表示

Vulnerability Management Workload CVEs ページに、システム内のクラスターで実行されているアプリケーションの脆弱性に関する情報が表示されます。イメージとデプロイメント全体の脆弱性情報を表示できます。Workload CVEs ページには、脆弱性のあるイメージとデプロイメントを表示する機能や、イメージ、デプロイメント、namespace、クラスター、CVE、コンポーネント、コンポーネントソースでフィルタリングする機能など、ダッシュボードよりも詳細なフィルタリング機能があります。

手順

  1. イメージの CVE をすべて表示するには、View image vulnerabilities リストから Image vulnerabilities を選択します。

  2. View image vulnerabilities リストから、イメージの表示方法を選択します。以下のオプションがあります。

    • Image vulnerabilities: RHACS によって CVE が検出されたイメージとデプロイメントを表示します。

    • Images without vulnerabilities: 以下の条件を 1 つ以上満たすイメージを表示します。

      • CVE がないイメージ

      • CVE の検出漏れにつながるスキャナーエラーが報告されたイメージ

        注記

        このリストには、実際に脆弱性を含むイメージが誤って表示される場合があります。たとえば、スキャナーがイメージをスキャンでき、そのことが RHACS に認識されているにもかかわらず、スキャンが正常に完了しなかった場合、脆弱性は検出されません。このような状況が発生するのは、RHACS のスキャナーでサポートされていないオペレーティングシステムがイメージに含まれている場合です。イメージリスト内のイメージにマウスを移動するか、イメージ名をクリックして詳細を表示すると、スキャンエラーが表示されます。

  3. CVE をエンティティー別にフィルタリングするには、適切なフィルターと属性を選択します。

    複数のエンティティーと属性を選択するには、右矢印アイコンをクリックして別の条件を追加します。必要に応じて、テキストなどの適切な情報を入力するか、日付またはオブジェクトを選択します。

    フィルターのエンティティーと属性を次の表に示します。

    表14.1 CVE のフィルタリング
    エンティティー属性

    Image

    • Name: イメージの名前。
    • Operating system: イメージのオペレーティングシステム。
    • Tag: イメージのタグ。
    • Label: イメージのラベル。
    • Registry: イメージが配置されているレジストリー。

    CVE

    • Name: CVE の名前。
    • Discovered time: RHACS が CVE を検出した日付。

    • CVSS: CVE の重大度。重大度は、次のオプションから選択できます。

      • is greater than
      • is greater than or equal to
      • is equal to
      • is less than or equal to
      • is less than

    Image Component

    • Name: イメージコンポーネントの名前 (例: activerecord-sql-server-adapter)。

    • Source:

      • OS
      • Python
      • Java
      • Ruby
      • Node.js
      • Go
      • Dotnet Core Runtime
      • Infrastructure
    • Version: イメージコンポーネントのバージョン (例: 3.4.21)。これを使用すると、たとえばコンポーネント名と組み合わせて、特定のバージョンのコンポーネントを検索できます。

    Deployment

    • Name: デプロイメントの名前。
    • Label: デプロイメントのラベル。
    • Annotation: デプロイメントのアノテーション。

    Namespace

    • Name: namespace の名前。
    • Label: namespace のラベル。
    • Annotation: namespace のアノテーション。

    Cluster

    • Name: クラスターの名前。
    • Label: クラスターのラベル。
    • Type: クラスターのタイプ (例: OCP)。
    • Platform type: プラットフォームタイプ (例: OpenShift 4 クラスター)。

  4. 次のオプションを選択して、結果のリストを絞り込むことができます。

    • Prioritize by namespace view: リスクの優先度に従って並べ替えられた namespace のリストを表示します。このビューを使用すると、最も重要な領域をすばやく特定して対処できます。このビューで、テーブル行の <number> deployments をクリックすると、選択した namespace のデプロイメント、イメージ、および CVE のみを表示するフィルターが適用された状態で、ワークロードの CVE のリストビューに戻ります。
    • Default filters: Workload CVEs ページにアクセスしたときに自動的に適用される CVE 重大度と CVE ステータスのフィルターを選択できます。これらのフィルターは、このページにのみ適用され、RHACS Web ポータルの別のセクションまたはブックマークされた URL からページにアクセスしたときに適用されます。フィルターはブラウザーのローカルストレージに保存されます。
    • CVE severity: 1 つ以上のレベルを選択できます。
    • CVE status: Fixable または Not fixable を選択できます。
注記

Filtered view アイコンは、表示された結果が選択した条件に基づいてフィルターされたことを示します。Clear filters をクリックしてすべてのフィルターを削除することも、個々のフィルターをクリックして削除することもできます。

結果のリストで、CVE、イメージ名、またはデプロイメント名をクリックすると、項目に関する詳細情報が表示されます。たとえば、項目タイプに応じて、次の情報を表示できます。

  • CVE が修正可能かどうか
  • イメージがアクティブかどうか
  • CVE を含むイメージの Dockerfile 行
  • Red Hat の CVE およびその他の CVE データベースに関する情報への外部リンク

検索例

次の図は、staging-secured-cluster というクラスターの検索条件の例を示しています。これは、そのクラスターについて、重大度が重大および重要で、ステータスが修正可能である CVE を表示するための条件です。

`staging-secured-cluster` で、重大度が重大および重要で、ステータスが修正可能である CVE を検索した結果を示している Workload CVEs

14.2.3. ノードの CVE の表示

RHACS を使用すると、ノード内の脆弱性を特定できます。特定される脆弱性は次のとおりです。

  • Kubernetes コアコンポーネントの脆弱性
  • Docker、CRI-O、runC、containerd などのコンテナーランタイムの脆弱性

RHACS がスキャンできるオペレーティングシステムの詳細は、「サポート対象オペレーティングシステム」を参照してください。

手順

  1. RHACS ポータルで、Vulnerability Management Node CVEs をクリックします。

  2. データを表示するために、次のいずれかのタスクを実行します。

    • すべてのノードに影響するすべての CVE のリストを表示するには、<number> CVEs を選択します。
    • CVE を含むノードのリストを表示するには、<number> Nodes を選択します。

  3. オプション: CVE をエンティティー別にフィルタリングするには、適切なフィルターと属性を選択します。フィルタリング条件をさらに追加するには、次の手順に従います。

    1. リストからエンティティーまたは属性を選択します。
    2. 必要に応じて、テキストなどの適切な情報を入力するか、日付またはオブジェクトを選択します。
    3. 右矢印アイコンをクリックします。

    4. オプション: 追加のエンティティーと属性を選択し、右矢印アイコンをクリックして追加します。フィルターのエンティティーと属性を次の表に示します。

      表14.2 CVE のフィルタリング
      エンティティー属性

      ノード

      • Name: ノードの名前。
      • Operating system: ノードのオペレーティングシステム (例: Red Hat Enterprise Linux (RHEL))。
      • Label: ノードのラベル。
      • Annotation: ノードのアノテーション。
      • Scan time: ノードのスキャン日。

      CVE

      • Name: CVE の名前。
      • Discovered time: RHACS が CVE を検出した日付。

      • CVSS: CVE の重大度。重大度は、次のオプションから選択できます。

        • is greater than
        • is greater than or equal to
        • is equal to
        • is less than or equal to
        • is less than

      Node Component

      • Name: コンポーネントの名前。
      • Version: コンポーネントのバージョン (例: 4.15.0-2024)。これを使用すると、たとえばコンポーネント名と組み合わせて、特定のバージョンのコンポーネントを検索できます。

      クラスター

      • Name: クラスターの名前。
      • Label: クラスターのラベル。
      • Type: クラスターのタイプ (例: OCP)。
      • Platform type: プラットフォームのタイプ (例: OpenShift 4 クラスター)。

  4. オプション: 結果のリストを絞り込むには、次のいずれかのタスクを実行します。

    • CVE severity をクリックし、1 つ以上のレベルを選択します。
    • CVE status をクリックし、Fixable または Not fixable を選択します。
  5. オプション: ノードの詳細と、そのノードの CVSS スコアと修正可能な CVE に基づく CVE 情報を表示するには、ノードのリストでノード名をクリックします。

14.2.3.1. ノードの脆弱性の特定を無効にする

ノード内の脆弱性の特定はデフォルトで有効になっています。これは RHACS ポータルから無効にできます。

手順

  1. RHACS ポータルで、Platform Configuration Integrations に移動します。
  2. Image Integrations セクションで StackRox Scanner を選択します。
  3. スキャナーのリストから StackRox スキャナーを選択して詳細を表示します。
  4. Edit をクリックします。
  5. イメージスキャナーのみを使用し、ノードスキャナーを使用しない場合は、Image Scanner をクリックします。
  6. Save をクリックします。

関連情報

14.2.4. プラットフォームの CVE の表示

Platform CVEs ページには、システム内のクラスターの脆弱性に関する情報が表示されます。

手順

  1. Vulnerability Management Platform CVEs をクリックします。

  2. 適切なフィルターと属性を選択することで、CVE をエンティティー別にフィルタリングできます。右矢印アイコンをクリックして別の条件を追加することで、複数のエンティティーと属性を選択できます。必要に応じて、テキストなどの適切な情報を入力するか、日付またはオブジェクトを選択します。フィルターのエンティティーと属性を次の表に示します。

    表14.3 CVE のフィルタリング
    エンティティー属性

    クラスター

    • Name: クラスターの名前。
    • Label: クラスターのラベル。
    • Type: クラスターのタイプ (例: OCP)。
    • Platform type: プラットフォームタイプ (例: OpenShift 4 クラスター)。

    CVE

    • Name: CVE の名前。
    • Discovered time: RHACS が CVE を検出した日付。

    • CVSS: CVE の重大度。重大度は、次のオプションから選択できます。

      • is greater than
      • is greater than or equal to
      • is equal to
      • is less than or equal to
      • is less than

    • Type: CVE のタイプ:

      • Kubernetes CVE
      • Istio CVE
      • OpenShift CVE
  3. CVE ステータスでフィルタリングするには、CVE status をクリックし、Fixable または Not fixable を選択します。
注記

Filtered view アイコンは、表示された結果が選択した条件に基づいてフィルターされたことを示します。Clear filters をクリックしてすべてのフィルターを削除することも、個々のフィルターをクリックして削除することもできます。

結果のリストで CVE をクリックすると、その項目の詳細情報が表示されます。たとえば、次の情報が入力されている場合は、その情報を表示できます。

  • CVE のドキュメント
  • Red Hat の CVE およびその他の CVE データベースに関する情報への外部リンク
  • CVE が修正可能か修正不可能か
  • 影響を受けるクラスターのリスト

14.2.5. CVE の除外

ノードとプラットフォームの CVE をスヌーズし、ノード、プラットフォーム、およびイメージの CVE を延期または誤検出としてマークすることで、RHACS で CVE を除外または無視できます。CVE が誤検出であることがわかっている場合、または CVE を軽減するための手順をすでに実行している場合は、CVE を除外することを推奨します。スヌーズされた CVE は脆弱性レポートに表示されず、ポリシー違反をトリガーすることもありません。

CVE をスヌーズして、指定した期間グローバルに無視することができます。CVE をスヌーズするのに承認は必要ありません。

注記

ノードおよびプラットフォーム CVE をスヌーズするには、ROX_VULN_MGMT_LEGACY_SNOOZE 環境変数を true に設定する必要があります。

CVE を延期したり誤検出としてマークしたりすることは、例外管理ワークフローを通じて行われます。このワークフローでは、保留中、承認済み、拒否済みの延期要求および誤検出要求を表示できます。CVE 例外の範囲を、1 つのイメージ、1 つのイメージのすべてのタグ、またはすべてのイメージに対してグローバルに設定できます。

要求を承認または拒否する場合は、コメントを追加する必要があります。CVE は、例外要求が承認されるまで監視対象ステータスのままになります。別のユーザーによって拒否された保留中の延期要求は、レポート、ポリシー違反、およびシステム内の他の場所で引き続き表示されますが、Vulnerability Management Workload CVEs にアクセスすると、CVE の横に Pending exception ラベルが表示されます。

延期または誤検出の例外が承認されると、次の影響があります。

  • Vulnerability Management Workflow CVEsObserved タブから CVE が削除され、Deferred または False positive タブに移動する
  • CVE によって CVE に関連するポリシー違反がトリガーされなくなる
  • 自動生成された脆弱性レポートに CVE が表示されなくなる

14.2.5.1. プラットフォームとノードの CVE のスヌーズ

インフラストラクチャーに関連しないプラットフォームおよびノードの CVE をスヌーズできます。CVE は、スヌーズを解除するまで、1 日、1 週間、2 週間、1 カ月間、または無期限にスヌーズできます。CVE のスヌーズは直ちに有効になり、追加の承認手順は必要ありません。

注記

CVE をスヌーズする機能は、デフォルトでは Web ポータルまたは API で有効になっていません。CVE をスヌーズする機能を有効にするには、ランタイム環境変数 ROX_VULN_MGMT_LEGACY_SNOOZEtrue に設定してください。

手順

  1. RHACS ポータルで、次のいずれかのタスクを実行します。

    • プラットフォームの CVE を表示するには、Vulnerability Management Platform CVEs をクリックします。
    • ノードの CVE を表示するには、Vulnerability Management Node CVEs をクリックします。
  2. 1 つ以上の CVE を選択します。

  3. CVE をスヌーズするための適切な方法を選択します。

    • 1 つの CVE を選択した場合は、オーバーフローメニュー kebab をクリックし、Snooze CVE を選択します。
    • 複数の CVE を選択した場合は、Bulk actions Snooze CVEs をクリックします。
  4. スヌーズする期間を選択します。

  5. Snooze CVEs をクリックします。

    CVE のスヌーズを要求したことを確認するメッセージが表示されます。

14.2.5.2. プラットフォームとノードの CVE のスヌーズ解除

以前にスヌーズしたプラットフォームおよびノードの CVE のスヌーズを解除できます。

注記

CVE をスヌーズする機能は、デフォルトでは Web ポータルまたは API で有効になっていません。CVE をスヌーズする機能を有効にするには、ランタイム環境変数 ROX_VULN_MGMT_LEGACY_SNOOZEtrue に設定してください。

手順

  1. RHACS ポータルで、次のいずれかのタスクを実行します。

    • プラットフォームの CVE のリストを表示するには、Vulnerability Management Platform CVEs をクリックします。
    • ノードの CVE のリストを表示するには、Vulnerability Management Node CVEs をクリックします。
  2. スヌーズされた CVE のリストを表示するために、ヘッダービューで Show snoozed CVEs をクリックします。
  3. スヌーズされた CVE のリストから CVE を 1 つ以上選択します。

  4. CVE のスヌーズを解除するには、適切な方法を選択します。

    • 1 つの CVE を選択した場合は、オーバーフローメニュー kebab をクリックし、Unsnooze CVE を選択します。
    • 複数の CVE を選択した場合は、Bulk actions Unsnooze CVEs をクリックします。

  5. もう一度 Unsnooze CVEs をクリックします。

    CVE のスヌーズ解除を要求したことを確認するメッセージが表示されます。

14.2.5.3. スヌーズされた CVE の表示

スヌーズされたプラットフォームおよびノード CVE のリストを表示できます。

注記

CVE をスヌーズする機能は、デフォルトでは Web ポータルまたは API で有効になっていません。CVE をスヌーズする機能を有効にするには、ランタイム環境変数 ROX_VULN_MGMT_LEGACY_SNOOZEtrue に設定してください。

手順

  1. RHACS ポータルで、次のいずれかのタスクを実行します。

    • プラットフォームの CVE のリストを表示するには、Vulnerability Management Platform CVEs をクリックします。
    • ノードの CVE のリストを表示するには、Vulnerability Management Node CVEs をクリックします。
  2. Show snoozed CVEs をクリックし、リストを表示します。

14.2.5.4. 脆弱性をグローバルに誤検出としてマークする

グローバルに、つまりすべてのイメージを対象に脆弱性を誤検出としてマークすることで、脆弱性の例外を作成できます。例外管理ワークフローで、脆弱性を誤検出としてマークする要求の承認を受ける必要があります。

前提条件

  • VulnerabilityManagementRequests リソースに対する write 権限がある。

手順

  1. RHACS ポータルで、Vulnerability Management Workload CVEs をクリックします。

  2. CVE をマークするための適切な方法を選択します。

    • 1 つの CVE をマークする場合は、次の手順を実行します。

      1. 操作を実行する CVE が含まれている行を見つけます。
      2. 特定した CVE のオーバーフローメニュー kebab をクリックしMark as false positive を選択します。

    • 複数の CVE をマークする場合は、次の手順を実行します。

      1. 各 CVE を選択します。
      2. Bulk actions ドロップダウンリストから、Mark as false positives を選択します。
  3. 例外を要求する理由を入力します。
  4. オプション: 例外要求に含まれる CVE を確認するには、CVE selections をクリックします。

  5. Submit request をクリックします。

    例外を要求したことを確認するメッセージが表示されます。

  6. オプション: 承認リンクをコピーして組織の例外承認者と共有するには、コピーアイコンをクリックします。
  7. Close をクリックします。

14.2.5.5. イメージまたはイメージタグの脆弱性を誤検出としてマークする

脆弱性の例外を作成する場合、1 つのイメージを対象に、またはイメージに関連付けられているすべてのタグを対象に、脆弱性を誤検出としてマークすることができます。例外管理ワークフローで、脆弱性を誤検出としてマークする要求の承認を受ける必要があります。

前提条件

  • VulnerabilityManagementRequests リソースに対する write 権限がある。

手順

  1. RHACS ポータルで、Vulnerability Management Workload CVEs をクリックします。
  2. イメージのリストを表示するために、<number> Images をクリックします。
  3. 誤検出としてマークするイメージがリストされている行を見つけて、イメージ名をクリックします。

  4. CVE をマークするための適切な方法を選択します。

    • 1 つの CVE をマークする場合は、次の手順を実行します。

      1. 操作を実行する CVE が含まれている行を見つけます。
      2. 特定した CVE のオーバーフローメニュー kebab をクリックしMark as false positive を選択します。

    • 複数の CVE をマークする場合は、次の手順を実行します。

      1. 各 CVE を選択します。
      2. Bulk actions ドロップダウンリストから、Mark as false positives を選択します。
  5. 範囲を選択します。イメージに関連付けられているすべてのタグを選択するか、イメージのみを選択できます。
  6. 例外を要求する理由を入力します。
  7. オプション: 例外要求に含まれる CVE を確認するには、CVE selections をクリックします。

  8. Submit request をクリックします。

    例外を要求したことを確認するメッセージが表示されます。

  9. オプション: 承認リンクをコピーして組織の例外承認者と共有するには、コピーアイコンをクリックします。
  10. Close をクリックします。

14.2.5.6. 延期された CVE と誤検出された CVE の表示

Workload CVEs ページを使用すると、延期された CVE や誤検出としてマークされた CVE を表示できます。

手順

  1. 延期された CVE または誤検出としてマークされた CVE (承認者によって承認された例外を含む) を表示するには、Vulnerability Management Workload CVEs をクリックします。次のいずれかの操作を実行します。

    • 延期された CVE を表示するには、Deferred タブをクリックします。

    • 誤検出としてマークされた CVE を表示するには、False positives タブをクリックします。

      注記

      延期された CVE または誤検出の CVE を承認、拒否、または変更するには、Vulnerability Management Exception Management をクリックします。

  2. オプション: 延期または誤検出に関する追加情報を表示するには、Request details 列の View をクリックします。Exception Management ページが表示されます。

14.2.5.7. CVE の延期

軽減策の有無にかかわらずリスクを受け入れ、CVE を延期することができます。例外管理ワークフローで延期要求の承認を受ける必要があります。

前提条件

  • VulnerabilityManagementRequests リソースに対する write 権限がある。

手順

  1. RHACS ポータルで、Vulnerability Management Workload CVEs をクリックします。

  2. CVE を延期するための適切な方法を選択します。

    • 1 つの CVE を延期する場合は、次の手順を実行します。

      1. 誤検出としてマークする CVE を含む行を見つけます。
      2. 特定した CVE のオーバーフローメニュー kebab をクリックし、Defer CVE をクリックします。

    • 複数の CVE を延期する場合は、次の手順を実行します。

      1. 各 CVE を選択します。
      2. Bulk actions Defer CVEs をクリックします。
  3. 延期期間を選択します。
  4. 例外を要求する理由を入力します。
  5. オプション: 例外メニューに含まれる CVE を確認するには、CVE selections クリックします。

  6. Submit request をクリックします。

    延期を要求したことを確認するメールが届きます。

  7. オプション: 承認リンクをコピーして組織の例外承認者と共有するには、コピーアイコンをクリックします。
  8. Close をクリックします。
14.2.5.7.1. 脆弱性例外の有効期限の設定

脆弱性の管理例外に使用できる期間を設定できます。このオプションは、ユーザーが CVE の延期を要求した場合に利用できます。

前提条件

  • VulnerabilityManagementRequests リソースに対する write 権限がある。

手順

  1. RHACS ポータルで、Platform Configuration Exception Configuration に移動します。
  2. CVE の延期を要求するときにユーザーが選択できる有効期限を設定できます。期間を有効にすると、ユーザーが利用できるようになります。無効にすると、ユーザーインターフェイスから期間が削除されます。

14.2.5.8. CVE を延期または誤検出としてマークするための例外要求の確認と管理

CVE を延期および誤検出としてマークするための例外要求を確認、更新、承認、または拒否できます。

前提条件

  • VulnerabilityManagementRequests リソースに対する write 権限がある。

手順

  1. 保留中のリクエストのリストを表示するために、次のいずれかのタスクを実行します。

    • 承認リンクをブラウザーに貼り付けます。
    • Vulnerability Management Exception Management をクリックし、Pending requests タブで要求の名前をクリックします。
  2. 脆弱性の範囲を確認し、承認するかどうかを決定します。

  3. 保留中の要求を管理するための適切なオプションを選択します。

    • 要求を拒否し、CVE を監視対象状態に戻す場合は、Deny request をクリックします。

      拒否の理由を入力し、Deny をクリックします。

    • 要求を承認する場合は、Approve request をクリックします。

      承認の理由を入力し、Approve をクリックします。

  4. 作成した要求をキャンセルし、CVE を監視対象ステータスに戻すには、Cancel request をクリックします。キャンセルできるのは、自分が作成した要求だけです。

  5. 作成した要求の延期期間または理由を更新するには、Update request をクリックします。更新できるのは、自分が作成した要求だけです。

    変更を加えたら、Submit request をクリックします。

    要求を送信したことを確認するメールが届きます。

14.2.6. CVE が含まれるコンポーネントを取り込んだイメージ内の Dockerfile 行を特定する

CVE が含まれるコンポーネントを取り込んだイメージ内の Dockerfile 行を特定できます。

手順

問題のある行を表示するには、以下を行います。

  1. RHACS ポータルで、Vulnerability Management Workload CVEs をクリックします。

  2. タブをクリックすると、CVE の種類が表示されます。次のタブがあります。

    • Observed
    • Deferred
    • False positives
  3. CVE のリストで CVE 名をクリックすると、CVE の詳細を含むページが開きます。Affected components 列に、CVE が含まれるコンポーネントがリスト表示されます。
  4. CVE を展開すると、そのコンポーネントを取り込んだ Dockerfile 行などの追加情報が表示されます。

14.2.7. 新しいコンポーネントバージョンの検索

以下の手順では、アップグレード先のコンポーネントのバージョンを見つけます。

手順

  1. RHACS ポータルで、Vulnerability Management Workload CVEs をクリックします。
  2. <number> Images をクリックしてイメージを選択します。

  3. 追加情報を表示するために、CVE を見つけて展開アイコンをクリックします。

    追加情報には、CVE が含まれるコンポーネントと、CVE が修正されたバージョン (修正可能な場合) が含まれています。

  4. イメージを新しいバージョンに更新します。

14.2.8. API を使用したワークロードの脆弱性のエクスポート

API を使用して、Red Hat Advanced Cluster Security for Kubernetes のワークロードの脆弱性をエクスポートできます。

これらの例では、ワークロードはデプロイメントとそれに関連付けられたイメージで構成されます。エクスポートでは、/v1/export/vuln-mgmt/workloads ストリーミング API が使用されます。デプロイメントとイメージを組み合わせてエクスポートできます。images ペイロードには完全な脆弱性情報が含まれています。出力はストリーミングされ、次のスキーマを持ちます。 

{"result": {"deployment": {...}, "images": [...]}}
...
{"result": {"deployment": {...}, "images": [...]}}

次の例では、これらの環境変数が設定されていることを前提としています。

  • ROX_API_TOKEN: Deployment および Image リソースの view 権限を持つ API トークン
  • ROX_ENDPOINT: Central の API が利用できるエンドポイント

  • すべてのワークロードをエクスポートするには、次のコマンドを入力します。 

    $ curl -H "Authorization: Bearer $ROX_API_TOKEN" $ROX_ENDPOINT/v1/export/vuln-mgmt/workloads

  • クエリータイムアウトを 60 秒にしてすべてのワークロードをエクスポートするには、次のコマンドを入力します。 

    $ curl -H "Authorization: Bearer $ROX_API_TOKEN" $ROX_ENDPOINT/v1/export/vuln-mgmt/workloads?timeout=60

  • クエリー Deployment:app Namespace:default に一致するすべてのワークロードをエクスポートするには、次のコマンドを入力します。 

    $ curl -H "Authorization: Bearer $ROX_API_TOKEN" $ROX_ENDPOINT/v1/export/vuln-mgmt/workloads?query=Deployment%3Aapp%2BNamespace%3Adefault

関連情報

14.2.8.1. 非アクティブなイメージのスキャン

Red Hat Advanced Cluster Security for Kubernetes (RHACS) は、すべてのアクティブな (デプロイされた) イメージを 4 時間ごとにスキャンし、イメージスキャンの結果を更新して最新の脆弱性定義を反映します。

非アクティブな (デプロイされていない) イメージを自動的にスキャンするように RHACS を設定することもできます。

手順

  1. RHACS ポータルで、Vulnerability Management Workload CVEs をクリックします。
  2. Manage watched images をクリックします。
  3. Image name フィールドに、レジストリーで始まりイメージタグで終わる完全修飾イメージ名を入力します (例: docker.io/library/nginx:latest)。
  4. Add image to watch list をクリックします。

  5. オプション: 監視対象のイメージを削除するには、Manage watched images ウィンドウでイメージを見つけて、Remove watch をクリックします。

    重要

    RHACS ポータルで、Platform Configuration System Configuration をクリックして、データ保持設定を表示します。

    ウォッチリストから削除されたイメージに関連するすべてのデータは、System Configuration ページに記載されている日数の間 RHACS ポータルに表示され続け、その期間が終了した後にのみ削除されます。

  6. Close をクリックして、Workload CVEs ページに戻ります。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.