サポートコンソール開発者トライアルの開始お問い合わせ

14.2. 脆弱性の確認と対処

一般的な脆弱性管理タスクには、脆弱性の特定と優先順位付け、脆弱性の修復、および新しい脅威の監視が含まれます。

これまで、RHACS では、システムで検出された脆弱性を脆弱性管理ダッシュボードに表示していました。このダッシュボードは RHACS 4.5 で非推奨となり、今後のリリースで削除される予定です。

ダッシュボードの詳細は、脆弱性管理ダッシュボードの使用 を参照してください。

14.2.1. イメージとデプロイメント全体でスキャンされた CVE の優先順位付けと管理

Workload CVEs ページを表示すると、システム内のクラスターで実行されているアプリケーションの脆弱性に関する情報を取得できます。イメージとデプロイメント全体の脆弱性情報を表示できます。

Workload CVEs ページには、脆弱性のあるイメージとデプロイメントを表示する機能や、イメージ、デプロイメント、namespace、クラスター、CVE、コンポーネント、コンポーネントソースでフィルタリングする機能など、ダッシュボードよりも詳細なフィルタリング機能があります。

手順

  1. RHACS ポータルで、Vulnerability Management Workload CVEs をクリックします。

  2. ページの左上にあるドロップダウンリストから、イメージとデプロイメントを移動するための適切な方法を選択します。

    • 特定された CVE が含まれるイメージおよびデプロイメントを表示するには、Image vulnerabilities を選択します。
    • 特定された CVE が含まれていないイメージおよびデプロイメントを表示するには、Images without vulnerabilities を選択します。

  3. オプション: Workload CVE ページの情報を再編成するには、適切な方法を選択します。

    • テーブルを昇順または降順で並べ替えるには、列見出しを選択します。
    • テーブルをフィルタリングするには、フィルターバーを使用します。

    • テーブルに表示するカテゴリーを選択するには、次の手順を実行します。

      1. Manage columns をクリックします。

      2. 列を管理するための適切な方法を選択します。

        • すべてのカテゴリーを表示するには、Select all をクリックします。
        • デフォルトのカテゴリーにリセットするには、Reset to default をクリックします。
        • 選択したカテゴリーのみを表示するには、表示するカテゴリーを 1 つ以上選択します。

    • エンティティーに基づいて CVE をフィルタリングするには、適切なフィルターと属性を選択します。

      複数のエンティティーと属性を選択するには、右矢印アイコンをクリックして別の条件を追加します。必要に応じて、テキストなどの適切な情報を入力するか、日付またはオブジェクトを選択します。

      フィルターのエンティティーと属性を次の表に示します。

      表14.1 CVE のフィルタリング
      エンティティー属性

      イメージ

      • Name: イメージの名前。
      • Operating system: イメージのオペレーティングシステム。
      • Tag: イメージのタグ。
      • Label: イメージのラベル。
      • Registry: イメージが配置されているレジストリー。

      CVE

      • Name: CVE の名前。
      • Discovered time: RHACS が CVE を検出した日付。

      • CVSS: CVE の重大度。

        CVE の重大度レベルには次の値が関連付けられています。

        • is greater than
        • is greater than or equal to
        • is equal to
        • is less than or equal to
        • is less than

      Image Component

      • Name: イメージコンポーネントの名前 (例: activerecord-sql-server-adapter)。

      • Source:

        • OS
        • Python
        • Java
        • Ruby
        • Node.js
        • Go
        • Dotnet Core Runtime
        • Infrastructure
      • Version: イメージコンポーネントのバージョン (例: 3.4.21)。これを使用すると、たとえばコンポーネント名と組み合わせて、特定のバージョンのコンポーネントを検索できます。

      Deployment

      • Name: デプロイメントの名前。
      • Label: デプロイメントのラベル。
      • Annotation: デプロイメントのアノテーション。

      Namespace

      • Name: namespace の名前。
      • Label: namespace のラベル。
      • Annotation: namespace のアノテーション。

      Cluster

      • Name: クラスターの名前。
      • Label: クラスターのラベル。
      • Type: クラスターのタイプ (例: OCP)。
      • Platform type: プラットフォームタイプ (例: OpenShift 4 クラスター)。

    • リスクの優先度に従って並べ替えられた namespace のリストを表示するには、Prioritize by namespace view をクリックします。

      このビューを使用すると、最も重要な領域をすばやく特定して対処できます。

      このビューで、テーブル行の <number> deployments をクリックすると、選択した namespace のデプロイメント、イメージ、および CVE のみを表示するフィルターが適用された状態で、ワークロードの CVE のリストビューに戻ります。

    • デフォルトのフィルターを適用するには、Default filters をクリックします。

      Workload CVEs ページにアクセスしたときに自動的に適用される CVE 重大度と CVE ステータスのフィルターを選択できます。

      これらのフィルターは、このページにのみ適用され、RHACS Web ポータルの別のセクションまたはブックマークされた URL からページにアクセスしたときに適用されます。フィルターはブラウザーのローカルストレージに保存されます。

    • CVE の重大度に基づいてテーブルをフィルタリングするには、CVE severity ドロップダウンリストから 1 つ以上の重大度レベルを選択します。

      CVE の重大度には次の値が関連付けられています。

      • Critical
      • 重要
      • Moderate
      • Low

    • CVE のステータスに基づいてテーブルをフィルタリングするには、CVE status ドロップダウンリストから 1 つ以上のステータスを選択します。

      CVE のステータスには次の値が関連付けられています。

      • Fixable
      • Not fixable
注記

Filtered view アイコンは、表示された結果が選択した条件に基づいてフィルターされたことを示します。Clear filters をクリックしてすべてのフィルターを削除することも、個々のフィルターをクリックして削除することもできます。

結果のリストで、CVE、イメージ名、またはデプロイメント名をクリックすると、項目に関する詳細情報が表示されます。たとえば、項目タイプに応じて、次の情報を表示できます。

  • CVE が修正可能かどうか
  • イメージがアクティブかどうか
  • CVE を含むイメージの Dockerfile 行
  • Red Hat の CVE およびその他の CVE データベースに関する情報への外部リンク

14.2.1.1. 確認された CVE を使用してイメージとデプロイメントを分析する

Image vulnerabilities を選択すると、Workload CVEs ページに、Red Hat Advanced Cluster Security for Kubernetes (RHACS) が CVE を検出したイメージとデプロイメントが表示されます。

14.2.1.1.1. CVEs タブ

CVE ビューでは、情報が次のグループに整理されます。

  • CVE: それぞれが特定の脆弱性を表す Common Vulnerabilities and Exposures (CVE) の一意の識別子を表示し、詳細に追跡および分析します。
  • Images by severity: 関連する脆弱性の重大度レベルに基づいてイメージをグループ化します。
  • Top CVSS: イメージ全体の各 CVE の最高 CVSS スコアを表示し、影響が最も重大な脆弱性を強調表示します。

  • Top NVD CVSS: National Vulnerability Database (NVD) からの重大度スコアが最も高いものを表示し、影響評価を標準化できるようにします。

    注記

    Scanner V4 を有効にしている場合にのみ、Top NVD CVSS 列が表示されます。

  • Affected images: 脆弱性の範囲を評価するために、特定の CVE の影響を受けるコンテナーイメージの数を表示します。
  • First discovered: 各脆弱性が環境内で最初に発見された日付を表示し、その露出期間を測定します。
  • Published: CVE がいつ開示されたかを示します。

CVE に関連付けられている詳細を確認してトリアージするには、CVE をクリックします。

CVE に関連付けられた脆弱性に関する情報を示すウィンドウが開きます。

14.2.1.1.2. Images タブ

Image ビューは、次のグループに情報を整理します。

  • Image: 各コンテナーイメージの名前または識別子を表示します。
  • CVEs by severity: 各イメージに関連付けられた脆弱性を重大度に基づいてグループ化します。
  • Operating system: イメージが使用するオペレーティングシステムを強調表示し、そのオペレーティングシステムに固有で、潜在的な脆弱性を特定するのに役立ちます。
  • Deployments: イメージがアクティブに実行されているすべてのデプロイメントが表示されるため、使用状況に基づいて影響を評価し、修復の優先順位を決定できます。
  • Age: イメージが使用されている期間を示し、古いイメージに関連する潜在的なリスクの情報を提供します。
  • Scan time: 最後に行われたスキャンのタイムスタンプを表示します。

イメージに関連付けられた詳細を確認してトリアージするには、イメージをクリックします。

イメージに関連付けられた脆弱性に関する情報を示すウィンドウが開きます。

14.2.1.1.3. Deployments タブ

deployments ビューは、情報を以下のグループに整理します。

  • Deployment: 各デプロイメントの名前または識別子を示します。
  • CVEs by severity: 各デプロイメントに関連付けられた脆弱性を重大度に基づいてグループ化します。
  • Cluster: 各デプロイメントが配置されているクラスターを表示します。
  • namespace: 各デプロイメントの namespace を表示します。
  • Images: デプロイメントで使用されるコンテナーイメージを表示します。
  • First discovered: デプロイメントに関連する脆弱性が最初に発見された日付を表示します。

デプロイメントに関連付けられた詳細を確認してトリアージするには、デプロイメントをクリックします。

デプロイメントに関連付けられた脆弱性に関する情報を示すウィンドウが開きます。

14.2.1.2. 確認された CVE が含まれていないイメージとデプロイメントを分析する

Images without vulnerabilities を選択すると、Workload CVEs ページに、以下の条件のいずれかを満たすイメージが表示されます。

  • CVE がないイメージ
  • CVE の検出漏れにつながるスキャナーエラーが報告されたイメージ
注記

このリストには、実際に脆弱性を含むイメージが誤って表示される場合があります。たとえば、Scanner がイメージをスキャンでき、それが Red Hat Advanced Cluster Security for Kubernetes (RHACS) に認識されているにもかかわらず、スキャンが正常に完了しなかった場合、RHACS は脆弱性を検出できません。

このシナリオは、イメージに RHACS Scanner がサポートしていないオペレーティングシステムが含まれている場合に発生します。RHACS では、イメージリスト内のイメージにマウスを移動するか、イメージ名をクリックして詳細情報を表示すると、スキャンエラーが表示されます。

14.2.1.2.1. Images タブ

Image ビューは、次のグループに情報を整理します。

  • Image: 各コンテナーイメージの名前または識別子を表示します。
  • Operating system: イメージが使用するオペレーティングシステムを強調表示し、そのオペレーティングシステムに固有で、潜在的な脆弱性を特定するのに役立ちます。
  • Deployments: イメージがアクティブに実行されているすべてのデプロイメントが表示されるため、使用状況に基づいて影響を評価し、修復の優先順位を決定できます。
  • Age: イメージが使用されている期間を示し、古いイメージに関連する潜在的なリスクの情報を提供します。
  • Scan time: 最後に行われたスキャンのタイムスタンプを表示します。

イメージに関連付けられた詳細を確認してトリアージするには、イメージをクリックします。

イメージに関連付けられた脆弱性に関する情報を示すウィンドウが開きます。

14.2.2. Deployments タブ

deployments ビューは、情報を以下のグループに整理します。

  • Deployment: 各デプロイメントの名前または識別子を示します。
  • Cluster: 各デプロイメントが配置されているクラスターを表示します。
  • namespace: 各デプロイメントの namespace を表示します。
  • Images: デプロイメントで使用されるコンテナーイメージを表示します。
  • First discovered: デプロイメントに関連する脆弱性が最初に発見された日付を表示します。

デプロイメントに関連付けられた詳細を確認してトリアージするには、デプロイメントをクリックします。

デプロイメントに関連付けられた脆弱性に関する情報を示すウィンドウが開きます。

14.2.3. ノードの CVE の表示

RHACS を使用すると、ノード内の脆弱性を特定できます。特定される脆弱性は次のとおりです。

  • Kubernetes コアコンポーネントの脆弱性
  • Docker、CRI-O、runC、containerd などのコンテナーランタイムの脆弱性

RHACS がスキャンできるオペレーティングシステムの詳細は、「サポート対象オペレーティングシステム」を参照してください。

手順

  1. RHACS ポータルで、Vulnerability Management Node CVEs をクリックします。

  2. データを表示するために、次のいずれかのタスクを実行します。

    • すべてのノードに影響するすべての CVE のリストを表示するには、<number> CVEs を選択します。
    • CVE を含むノードのリストを表示するには、<number> Nodes を選択します。

  3. オプション: CVE をエンティティー別にフィルタリングするには、適切なフィルターと属性を選択します。フィルタリング条件をさらに追加するには、次の手順に従います。

    1. リストからエンティティーまたは属性を選択します。
    2. 必要に応じて、テキストなどの適切な情報を入力するか、日付またはオブジェクトを選択します。
    3. 右矢印アイコンをクリックします。

    4. オプション: 追加のエンティティーと属性を選択し、右矢印アイコンをクリックして追加します。フィルターのエンティティーと属性を次の表に示します。

      表14.2 CVE のフィルタリング
      エンティティー属性

      ノード

      • Name: ノードの名前。
      • Operating system: ノードのオペレーティングシステム (例: Red Hat Enterprise Linux (RHEL))。
      • Label: ノードのラベル。
      • Annotation: ノードのアノテーション。
      • Scan time: ノードのスキャン日。

      CVE

      • Name: CVE の名前。
      • Discovered time: RHACS が CVE を検出した日付。

      • CVSS: CVE の重大度。

        CVE の重大度レベルには次の値が関連付けられています。

        • is greater than
        • is greater than or equal to
        • is equal to
        • is less than or equal to
        • is less than

      Node Component

      • Name: コンポーネントの名前。
      • Version: コンポーネントのバージョン (例: 4.15.0-2024)。これを使用すると、たとえばコンポーネント名と組み合わせて、特定のバージョンのコンポーネントを検索できます。

      Cluster

      • Name: クラスターの名前。
      • Label: クラスターのラベル。
      • Type: クラスターのタイプ (例: OCP)。
      • Platform type: プラットフォームのタイプ (例: OpenShift 4 クラスター)。

  4. オプション: 結果のリストを絞り込むには、次のいずれかのタスクを実行します。

    • CVE severity をクリックし、1 つ以上のレベルを選択します。
    • CVE status をクリックし、Fixable または Not fixable を選択します。
  5. オプション: ノードの詳細と、そのノードの CVSS スコアと修正可能な CVE に基づく CVE 情報を表示するには、ノードのリストでノード名をクリックします。

14.2.3.1. ノードの脆弱性の特定を無効にする

ノード内の脆弱性の特定はデフォルトで有効になっています。これは RHACS ポータルから無効にできます。

手順

  1. RHACS ポータルで、Platform Configuration Integrations に移動します。
  2. Image Integrations セクションで StackRox Scanner を選択します。
  3. スキャナーのリストから StackRox スキャナーを選択して詳細を表示します。
  4. Edit をクリックします。
  5. イメージスキャナーのみを使用し、ノードスキャナーを使用しない場合は、Image Scanner をクリックします。
  6. Save をクリックします。

関連情報

14.2.4. プラットフォームの CVE の表示

Platform CVEs ページには、システム内のクラスターの脆弱性に関する情報が表示されます。

手順

  1. Vulnerability Management Platform CVEs をクリックします。

  2. 適切なフィルターと属性を選択することで、CVE をエンティティー別にフィルタリングできます。右矢印アイコンをクリックして別の条件を追加することで、複数のエンティティーと属性を選択できます。必要に応じて、テキストなどの適切な情報を入力するか、日付またはオブジェクトを選択します。フィルターのエンティティーと属性を次の表に示します。

    表14.3 CVE のフィルタリング
    エンティティー属性

    Cluster

    • Name: クラスターの名前。
    • Label: クラスターのラベル。
    • Type: クラスターのタイプ (例: OCP)。
    • Platform type: プラットフォームタイプ (例: OpenShift 4 クラスター)。

    CVE

    • Name: CVE の名前。
    • Discovered time: RHACS が CVE を検出した日付。

    • CVSS: CVE の重大度。重大度は、次のオプションから選択できます。

      • is greater than
      • is greater than or equal to
      • is equal to
      • is less than or equal to
      • is less than

    • Type: CVE のタイプ:

      • Kubernetes CVE
      • Istio CVE
      • OpenShift CVE
  3. CVE ステータスでフィルタリングするには、CVE status をクリックし、Fixable または Not fixable を選択します。
注記

Filtered view アイコンは、表示された結果が選択した条件に基づいてフィルターされたことを示します。Clear filters をクリックしてすべてのフィルターを削除することも、個々のフィルターをクリックして削除することもできます。

結果のリストで CVE をクリックすると、その項目の詳細情報が表示されます。たとえば、次の情報が入力されている場合は、その情報を表示できます。

  • CVE のドキュメント
  • Red Hat の CVE およびその他の CVE データベースに関する情報への外部リンク
  • CVE が修正可能か修正不可能か
  • 影響を受けるクラスターのリスト

14.2.5. CVE の除外

ノードとプラットフォームの CVE をスヌーズし、ノード、プラットフォーム、およびイメージの CVE を延期または誤検出としてマークすることで、RHACS で CVE を除外または無視できます。CVE が誤検出であることがわかっている場合、または CVE を軽減するための手順をすでに実行している場合は、CVE を除外することを推奨します。スヌーズされた CVE は脆弱性レポートに表示されず、ポリシー違反をトリガーすることもありません。

CVE をスヌーズして、指定した期間グローバルに無視することができます。CVE をスヌーズするのに承認は必要ありません。

注記

ノードおよびプラットフォーム CVE をスヌーズするには、ROX_VULN_MGMT_LEGACY_SNOOZE 環境変数を true に設定する必要があります。

CVE を延期したり誤検出としてマークしたりすることは、例外管理ワークフローを通じて行われます。このワークフローでは、保留中、承認済み、拒否済みの延期要求および誤検出要求を表示できます。CVE 例外の範囲を、1 つのイメージ、1 つのイメージのすべてのタグ、またはすべてのイメージに対してグローバルに設定できます。

要求を承認または拒否する場合は、コメントを追加する必要があります。CVE は、例外要求が承認されるまで監視対象ステータスのままになります。別のユーザーによって拒否された保留中の延期要求は、レポート、ポリシー違反、およびシステム内の他の場所で引き続き表示されますが、Vulnerability Management Workload CVEs にアクセスすると、CVE の横に Pending exception ラベルが表示されます。

延期または誤検出の例外が承認されると、次の影響があります。

  • Vulnerability Management Workflow CVEsObserved タブから CVE が削除され、Deferred または False positive タブに移動する
  • CVE によって CVE に関連するポリシー違反がトリガーされなくなる
  • 自動生成された脆弱性レポートに CVE が表示されなくなる

14.2.5.1. プラットフォームとノードの CVE のスヌーズ

インフラストラクチャーに関連しないプラットフォームおよびノードの CVE をスヌーズできます。CVE は、スヌーズを解除するまで、1 日、1 週間、2 週間、1 カ月間、または無期限にスヌーズできます。CVE のスヌーズは直ちに有効になり、追加の承認手順は必要ありません。

注記

CVE をスヌーズする機能は、デフォルトでは Web ポータルまたは API で有効になっていません。CVE をスヌーズする機能を有効にするには、ランタイム環境変数 ROX_VULN_MGMT_LEGACY_SNOOZEtrue に設定してください。

手順

  1. RHACS ポータルで、次のいずれかのタスクを実行します。

    • プラットフォームの CVE を表示するには、Vulnerability Management Platform CVEs をクリックします。
    • ノードの CVE を表示するには、Vulnerability Management Node CVEs をクリックします。
  2. 1 つ以上の CVE を選択します。

  3. CVE をスヌーズするための適切な方法を選択します。

    • 1 つの CVE を選択した場合は、オーバーフローメニュー kebab をクリックし、Snooze CVE を選択します。
    • 複数の CVE を選択した場合は、Bulk actions Snooze CVEs をクリックします。
  4. スヌーズする期間を選択します。

  5. Snooze CVEs をクリックします。

    CVE のスヌーズを要求したことを確認するメッセージが表示されます。

14.2.5.2. プラットフォームとノードの CVE のスヌーズ解除

以前にスヌーズしたプラットフォームおよびノードの CVE のスヌーズを解除できます。

注記

CVE をスヌーズする機能は、デフォルトでは Web ポータルまたは API で有効になっていません。CVE をスヌーズする機能を有効にするには、ランタイム環境変数 ROX_VULN_MGMT_LEGACY_SNOOZEtrue に設定してください。

手順

  1. RHACS ポータルで、次のいずれかのタスクを実行します。

    • プラットフォームの CVE のリストを表示するには、Vulnerability Management Platform CVEs をクリックします。
    • ノードの CVE のリストを表示するには、Vulnerability Management Node CVEs をクリックします。
  2. スヌーズされた CVE のリストを表示するために、ヘッダービューで Show snoozed CVEs をクリックします。
  3. スヌーズされた CVE のリストから CVE を 1 つ以上選択します。

  4. CVE のスヌーズを解除するには、適切な方法を選択します。

    • 1 つの CVE を選択した場合は、オーバーフローメニュー kebab をクリックし、Unsnooze CVE を選択します。
    • 複数の CVE を選択した場合は、Bulk actions Unsnooze CVEs をクリックします。

  5. もう一度 Unsnooze CVEs をクリックします。

    CVE のスヌーズ解除を要求したことを確認するメッセージが表示されます。

14.2.5.3. スヌーズされた CVE の表示

スヌーズされたプラットフォームおよびノード CVE のリストを表示できます。

注記

CVE をスヌーズする機能は、デフォルトでは Web ポータルまたは API で有効になっていません。CVE をスヌーズする機能を有効にするには、ランタイム環境変数 ROX_VULN_MGMT_LEGACY_SNOOZEtrue に設定してください。

手順

  1. RHACS ポータルで、次のいずれかのタスクを実行します。

    • プラットフォームの CVE のリストを表示するには、Vulnerability Management Platform CVEs をクリックします。
    • ノードの CVE のリストを表示するには、Vulnerability Management Node CVEs をクリックします。
  2. Show snoozed CVEs をクリックし、リストを表示します。

14.2.5.4. 脆弱性をグローバルに誤検出としてマークする

グローバルに、つまりすべてのイメージを対象に脆弱性を誤検出としてマークすることで、脆弱性の例外を作成できます。例外管理ワークフローで、脆弱性を誤検出としてマークする要求の承認を受ける必要があります。

前提条件

  • VulnerabilityManagementRequests リソースに対する write 権限がある。

手順

  1. RHACS ポータルで、Vulnerability Management Workload CVEs をクリックします。

  2. CVE をマークするための適切な方法を選択します。

    • 1 つの CVE をマークする場合は、次の手順を実行します。

      1. 操作を実行する CVE が含まれている行を見つけます。
      2. 特定した CVE のオーバーフローメニュー kebab をクリックしMark as false positive を選択します。

    • 複数の CVE をマークする場合は、次の手順を実行します。

      1. 各 CVE を選択します。
      2. Bulk actions ドロップダウンリストから、Mark as false positives を選択します。
  3. 例外を要求する理由を入力します。
  4. オプション: 例外要求に含まれる CVE を確認するには、CVE selections をクリックします。

  5. Submit request をクリックします。

    例外を要求したことを確認するメッセージが表示されます。

  6. オプション: 承認リンクをコピーして組織の例外承認者と共有するには、コピーアイコンをクリックします。
  7. Close をクリックします。

14.2.5.5. イメージまたはイメージタグの脆弱性を誤検出としてマークする

脆弱性の例外を作成する場合、1 つのイメージを対象に、またはイメージに関連付けられているすべてのタグを対象に、脆弱性を誤検出としてマークすることができます。例外管理ワークフローで、脆弱性を誤検出としてマークする要求の承認を受ける必要があります。

前提条件

  • VulnerabilityManagementRequests リソースに対する write 権限がある。

手順

  1. RHACS ポータルで、Vulnerability Management Workload CVEs をクリックします。
  2. イメージのリストを表示するために、<number> Images をクリックします。
  3. 誤検出としてマークするイメージがリストされている行を見つけて、イメージ名をクリックします。

  4. CVE をマークするための適切な方法を選択します。

    • 1 つの CVE をマークする場合は、次の手順を実行します。

      1. 操作を実行する CVE が含まれている行を見つけます。
      2. 特定した CVE のオーバーフローメニュー kebab をクリックしMark as false positive を選択します。

    • 複数の CVE をマークする場合は、次の手順を実行します。

      1. 各 CVE を選択します。
      2. Bulk actions ドロップダウンリストから、Mark as false positives を選択します。
  5. 範囲を選択します。イメージに関連付けられているすべてのタグを選択するか、イメージのみを選択できます。
  6. 例外を要求する理由を入力します。
  7. オプション: 例外要求に含まれる CVE を確認するには、CVE selections をクリックします。

  8. Submit request をクリックします。

    例外を要求したことを確認するメッセージが表示されます。

  9. オプション: 承認リンクをコピーして組織の例外承認者と共有するには、コピーアイコンをクリックします。
  10. Close をクリックします。

14.2.5.6. 延期された CVE と誤検出された CVE の表示

Workload CVEs ページを使用すると、延期された CVE や誤検出としてマークされた CVE を表示できます。

手順

  1. 延期された CVE または誤検出としてマークされた CVE (承認者によって承認された例外を含む) を表示するには、Vulnerability Management Workload CVEs をクリックします。次のいずれかの操作を実行します。

    • 延期された CVE を表示するには、Deferred タブをクリックします。

    • 誤検出としてマークされた CVE を表示するには、False positives タブをクリックします。

      注記

      延期された CVE または誤検出の CVE を承認、拒否、または変更するには、Vulnerability Management Exception Management をクリックします。

  2. オプション: 延期または誤検出に関する追加情報を表示するには、Request details 列の View をクリックします。Exception Management ページが表示されます。

14.2.5.7. CVE の延期

軽減策の有無にかかわらずリスクを受け入れ、CVE を延期することができます。例外管理ワークフローで延期要求の承認を受ける必要があります。

前提条件

  • VulnerabilityManagementRequests リソースに対する write 権限がある。

手順

  1. RHACS ポータルで、Vulnerability Management Workload CVEs をクリックします。

  2. CVE を延期するための適切な方法を選択します。

    • 1 つの CVE を延期する場合は、次の手順を実行します。

      1. 誤検出としてマークする CVE を含む行を見つけます。
      2. 特定した CVE のオーバーフローメニュー kebab をクリックし、Defer CVE をクリックします。

    • 複数の CVE を延期する場合は、次の手順を実行します。

      1. 各 CVE を選択します。
      2. Bulk actions Defer CVEs をクリックします。
  3. 延期期間を選択します。
  4. 例外を要求する理由を入力します。
  5. オプション: 例外メニューに含まれる CVE を確認するには、CVE selections クリックします。

  6. Submit request をクリックします。

    延期を要求したことを確認するメールが届きます。

  7. オプション: 承認リンクをコピーして組織の例外承認者と共有するには、コピーアイコンをクリックします。
  8. Close をクリックします。
14.2.5.7.1. 脆弱性例外の有効期限の設定

脆弱性の管理例外に使用できる期間を設定できます。このオプションは、ユーザーが CVE の延期を要求した場合に利用できます。

前提条件

  • VulnerabilityManagementRequests リソースに対する write 権限がある。

手順

  1. RHACS ポータルで、Platform Configuration Exception Configuration に移動します。
  2. CVE の延期を要求するときにユーザーが選択できる有効期限を設定できます。期間を有効にすると、ユーザーが利用できるようになります。無効にすると、ユーザーインターフェイスから期間が削除されます。

14.2.5.8. CVE を延期または誤検出としてマークするための例外要求の確認と管理

CVE を延期および誤検出としてマークするための例外要求を確認、更新、承認、または拒否できます。

前提条件

  • VulnerabilityManagementRequests リソースに対する write 権限がある。

手順

  1. 保留中のリクエストのリストを表示するために、次のいずれかのタスクを実行します。

    • 承認リンクをブラウザーに貼り付けます。
    • Vulnerability Management Exception Management をクリックし、Pending requests タブで要求の名前をクリックします。
  2. 脆弱性の範囲を確認し、承認するかどうかを決定します。

  3. 保留中の要求を管理するための適切なオプションを選択します。

    • 要求を拒否し、CVE を監視対象状態に戻す場合は、Deny request をクリックします。

      拒否の理由を入力し、Deny をクリックします。

    • 要求を承認する場合は、Approve request をクリックします。

      承認の理由を入力し、Approve をクリックします。

  4. 作成した要求をキャンセルし、CVE を監視対象ステータスに戻すには、Cancel request をクリックします。キャンセルできるのは、自分が作成した要求だけです。

  5. 作成した要求の延期期間または理由を更新するには、Update request をクリックします。更新できるのは、自分が作成した要求だけです。

    変更を加えたら、Submit request をクリックします。

    要求を送信したことを確認するメールが届きます。

14.2.6. CVE が含まれるコンポーネントを取り込んだイメージ内の Dockerfile 行を特定する

CVE が含まれるコンポーネントを取り込んだイメージ内の Dockerfile 行を特定できます。

手順

問題のある行を表示するには、以下を行います。

  1. RHACS ポータルで、Vulnerability Management Workload CVEs をクリックします。

  2. タブをクリックすると、CVE の種類が表示されます。次のタブがあります。

    • Observed
    • Deferred
    • False positives
  3. CVE のリストで CVE 名をクリックすると、CVE の詳細を含むページが開きます。Affected components 列に、CVE が含まれるコンポーネントがリスト表示されます。
  4. CVE を展開すると、そのコンポーネントを取り込んだ Dockerfile 行などの追加情報が表示されます。

14.2.7. 新しいコンポーネントバージョンの検索

以下の手順では、アップグレード先のコンポーネントのバージョンを見つけます。

手順

  1. RHACS ポータルで、Vulnerability Management Workload CVEs をクリックします。
  2. <number> Images をクリックしてイメージを選択します。

  3. 追加情報を表示するために、CVE を見つけて展開アイコンをクリックします。

    追加情報には、CVE が含まれるコンポーネントと、CVE が修正されたバージョン (修正可能な場合) が含まれています。

  4. イメージを新しいバージョンに更新します。

14.2.8. API を使用したワークロードの脆弱性のエクスポート

API を使用して、Red Hat Advanced Cluster Security for Kubernetes のワークロードの脆弱性をエクスポートできます。

これらの例では、ワークロードはデプロイメントとそれに関連付けられたイメージで構成されます。エクスポートでは、/v1/export/vuln-mgmt/workloads ストリーミング API が使用されます。デプロイメントとイメージを組み合わせてエクスポートできます。images ペイロードには完全な脆弱性情報が含まれています。出力はストリーミングされ、次のスキーマを持ちます。 

{"result": {"deployment": {...}, "images": [...]}}
...
{"result": {"deployment": {...}, "images": [...]}}

次の例では、これらの環境変数が設定されていることを前提としています。

  • ROX_API_TOKEN: Deployment および Image リソースの view 権限を持つ API トークン
  • ROX_ENDPOINT: Central の API が利用できるエンドポイント

  • すべてのワークロードをエクスポートするには、次のコマンドを入力します。 

    $ curl -H "Authorization: Bearer $ROX_API_TOKEN" $ROX_ENDPOINT/v1/export/vuln-mgmt/workloads

  • クエリータイムアウトを 60 秒にしてすべてのワークロードをエクスポートするには、次のコマンドを入力します。 

    $ curl -H "Authorization: Bearer $ROX_API_TOKEN" $ROX_ENDPOINT/v1/export/vuln-mgmt/workloads?timeout=60

  • クエリー Deployment:app Namespace:default に一致するすべてのワークロードをエクスポートするには、次のコマンドを入力します。 

    $ curl -H "Authorization: Bearer $ROX_API_TOKEN" $ROX_ENDPOINT/v1/export/vuln-mgmt/workloads?query=Deployment%3Aapp%2BNamespace%3Adefault

関連情報

14.2.8.1. 非アクティブなイメージのスキャン

Red Hat Advanced Cluster Security for Kubernetes (RHACS) は、すべてのアクティブな (デプロイされた) イメージを 4 時間ごとにスキャンし、イメージスキャンの結果を更新して最新の脆弱性定義を反映します。

非アクティブな (デプロイされていない) イメージを自動的にスキャンするように RHACS を設定することもできます。

手順

  1. RHACS ポータルで、Vulnerability Management Workload CVEs をクリックします。
  2. Manage watched images をクリックします。
  3. Image name フィールドに、レジストリーで始まりイメージタグで終わる完全修飾イメージ名を入力します (例: docker.io/library/nginx:latest)。
  4. Add image to watch list をクリックします。

  5. オプション: 監視対象のイメージを削除するには、Manage watched images ウィンドウでイメージを見つけて、Remove watch をクリックします。

    重要

    RHACS ポータルで、Platform Configuration System Configuration をクリックして、データ保持設定を表示します。

    ウォッチリストから削除されたイメージに関連するすべてのデータは、System Configuration ページに記載されている日数の間 RHACS ポータルに表示され続け、その期間が終了した後にのみ削除されます。

  6. Close をクリックして、Workload CVEs ページに戻ります。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.