15.2. 脆弱性の確認と対処

15.2.1. RHACS ポータルでの脆弱性管理データの表示

リリース 4.7 以降、RHACS は、ユーザーのワークロードとノードの脆弱性やプラットフォームの脆弱性など、カテゴリー別に脆弱性データを検出して分離した脆弱性データを再編成しました。

Vulnerability Management メニューの Results ページに脆弱性データが表示されます。ページ上部のタブをクリックすると、カテゴリー別に脆弱性データを表示できます。タブには次のカテゴリーが含まれます。

ユーザーワークロード

このタブは、デプロイしたシステム内のワークロードとイメージに影響を与える脆弱性に関する情報を提供します。これらのワークロードはユーザーワークロードと呼ばれ、管理されるため、ユーザーワークロード と呼ばれます。

プラットフォーム

このタブは、RHACS がプラットフォームに関連する脆弱性を識別する脆弱性に関する情報を提供します。たとえば、OpenShift プラットフォーム とレイヤー化されたサービスがデプロイするワークロードとイメージの脆弱性などです。RHACS は正規表現パターンを使用してワークロードの namespace を検査し、プラットフォームコンポーネントに属するワークロードを識別します。たとえば、現在 RHACS は、次の namespace の脆弱性をプラットフォームに属するものとして識別します。

OpenShift Container Platform: namespace は openshift- または kube-で始まります。
レイヤード製品：
- namespace は rhacs-operator で始まる
- namespace は open-cluster-management で開始します
- namespace は stackrox、multicluster-engine、aap、または hiveです。
サードパーティーパートナー：namespace は nvidia-gpu-operatorです。

ノード

このタブには、ユーザー管理のプラットフォームワークロードやイメージなど、ノード間での脆弱性が表示されます。

その他のビュー

このメニューでは、以下のビューを含む、脆弱性情報を表示する追加の方法を利用できます。

すべての脆弱なイメージ
アクティブではないイメージ
CVE のないイメージ
Kubernetes コンポーネント

15.2.2. ユーザーのワークロード脆弱性の表示

Vulnerability Management Results ページでは、システム内のクラスターで実行されているアプリケーションの脆弱性に関する情報を取得できます。この情報を使用して、イメージやデプロイメント全体で脆弱性の優先順位を付け、管理できます。

User workload vulnerabilities ページでは、脆弱性のあるイメージとデプロイメントを表示し、イメージ、デプロイメント、namespace、クラスター、CVE、コンポーネントソース別にフィルタリングできます。

手順

RHACS ポータルで、Vulnerability Management Results に移動します。
User Workloads タブを選択します。デフォルトでは、Observed タブが選択されています。
オプション：確認された脆弱性、または延期された脆弱性、または誤検出としてマークされた脆弱性を表示できます。次のいずれかのタブをクリックします。
- observed: RHACS がユーザーワークロードで 確認した 脆弱性を一覧表示します。
- 延期: 観察されたが、遅延要求が送信され、例外管理ワークフローで承認された脆弱性を一覧表示します。
- false positives: 例外管理ワークフローで観察されたが誤検出として識別された脆弱性を一覧表示します。
オプション：以下のオプションを選択して、結果のリストを絞り込むことができます。
- Prioritize by namespace view: リスクの優先度に従って並べ替えられた namespace のリストを表示します。このビューを使用すると、最も重要な領域をすばやく特定して対処できます。このビューで、テーブル行の < number> deployments をクリックして、選択した namespace のデプロイメントのみを表示するためにフィルターが適用され、Vulnerability findings ビューに戻ります。
- デフォルトフィルター: このページのすべてのビューに自動的に適用される CVE 重大度および CVE ステータスのフィルターを選択できます。これらのフィルターは、RHACS Web ポータルの別のセクションまたはブックマークされた URL からページにアクセスするときに適用されます。フィルターはブラウザーのローカルストレージに保存されます。

たとえば、特定の名前付き CVE を検索するには、適切なフィルターと属性を選択して、エンティティーごとに結果の一覧をフィルタリングします。

複数のエンティティーと属性を選択するには、右矢印アイコンをクリックして別の条件を追加します。必要に応じて、テキストなどの適切な情報を入力するか、日付またはオブジェクトを選択します。

フィルターのエンティティーと属性を次の表に示します。

注記

Filtered view アイコンは、表示された結果が選択した条件に基づいてフィルターされたことを示します。Clear filters をクリックしてすべてのフィルターを削除することも、個々のフィルターをクリックして削除することもできます。

表15.1 フィルターオプション
エンティティー	属性
イメージ	Name: イメージの名前。 Operating system: イメージのオペレーティングシステム。 Tag: イメージのタグ。 Label: イメージのラベル。 Registry: イメージが配置されているレジストリー。
CVE	Name: CVE の名前。 Discovered time: RHACS が CVE を検出した日付。 CVSS: CVE の重大度。 CVE の重大度レベルには次の値が関連付けられています。 is greater than is greater than or equal to is equal to is less than or equal to is less than EPSS 確率: Exploit Prediction Scoring System (EPSS) に従って脆弱性が悪用される可能性。この EPSS データは、今後 30 日間にこの脆弱性の悪用が観察される可能性を示す割合を示します。EPSS はパートナーから観察されたエクスプロイト活動のデータを収集し、悪用が試行されたという意味ではありません。EPSS スコアは、CVE の経過時間など、他の情報とともに使用する必要があり、脆弱性の優先順位付けに役立てることができます。詳細は、RHACS and EPSS を参照してください。
Image Component	Name: イメージコンポーネントの名前 (例: `activerecord-sql-server-adapter`)。 Source: OS Python Java Ruby Node.js Go Dotnet Core Runtime Infrastructure Version: イメージコンポーネントのバージョン (例: `3.4.21`)。これを使用すると、たとえばコンポーネント名と組み合わせて、特定のバージョンのコンポーネントを検索できます。
Deployment	Name: デプロイメントの名前。 Label: デプロイメントのラベル。 Annotation: デプロイメントのアノテーション。 status: デプロイメントが非アクティブかアクティブか。
namespace	id: Kubernetes によって作成される namespace の `metadata.uid`。 Name: namespace の名前。 Label: namespace のラベル。 Annotation: namespace のアノテーション。
Cluster	id: クラスターの英数字 ID。これは、RHACS が追跡目的で割り当てる内部 ID です。 Name: クラスターの名前。 Label: クラスターのラベル。 Type: クラスターのタイプ (例: OCP)。 Platform type: プラットフォームタイプ (例: OpenShift 4 クラスター)。

CVE severity: 1 つ以上のレベルを選択できます。
CVE status: Fixable または Not fixable を選択できます。

以下のいずれかのタブをクリックして、必要なデータを表示します。
- & lt;number> CVE: CVE で整理された脆弱性を表示します。
- & lt;number> イメージ: 検出された脆弱性を含むイメージを表示します。
- & lt;number> デプロイメント: 検出された脆弱性が含まれるデプロイメントを表示します。
必要に応じて、User Workloads タブで情報を再編成する適切な方法を選択します。
- テーブルを昇順または降順で並べ替えるには、列見出しを選択します。
- テーブルに表示するカテゴリーを選択するには、次の手順を実行します。
  1. Columns をクリックします。
  2. 列を管理するための適切な方法を選択します。
    すべてのカテゴリーを表示するには、Select all をクリックします。
    デフォルトのカテゴリーにリセットするには、Reset to default をクリックします。
    選択した分類項目だけを表示するには、表示する分類項目を 1 つ以上選択し、[ 保存 ] をクリックします。
結果のリストで、CVE、イメージ名、またはデプロイメント名をクリックすると、項目に関する詳細情報が表示されます。たとえば、項目タイプに応じて、次の情報を表示できます。
- CVE が修正可能かどうか
- イメージがアクティブかどうか
- CVE を含むイメージの Dockerfile 行
- Red Hat の CVE およびその他の CVE データベースに関する情報への外部リンク

15.2.3. プラットフォームの脆弱性の表示

Platform の脆弱性 ページは、RHACS が プラットフォーム に関連する脆弱性など、OpenShift Platform とレイヤー化されたサービスで使用されるワークロードやイメージの脆弱性など、特定する脆弱性に関する情報を提供します。

手順

RHACS ポータルで、Vulnerability Management Results に移動します。
Platform タブを選択します。デフォルトでは、Observed タブが選択されています。
オプション：確認された脆弱性、または延期された脆弱性、または誤検出としてマークされた脆弱性を表示できます。次のいずれかのタブをクリックします。
- 確認された: RHACS がプラットフォームワークロードとイメージで確認した脆弱性を一覧表示します。
- 延期: 観察されたが、遅延要求が送信され、例外管理ワークフローで承認された脆弱性を一覧表示します。
- false positives: 例外管理ワークフローで観察されたが誤検出として識別された脆弱性を一覧表示します。
オプション：以下のオプションを選択して、結果のリストを絞り込むことができます。
- Prioritize by namespace view: リスクの優先度に従って並べ替えられた namespace のリストを表示します。このビューを使用すると、最も重要な領域をすばやく特定して対処できます。このビューで、表の < number> deployments をクリックし、プラットフォーム脆弱性ビューに戻ります。フィルターが適用され、選択した namespace のデプロイメントのみが表示されます。
- デフォルトフィルター: このページのすべてのビューに自動的に適用される CVE 重大度および CVE ステータスのフィルターを選択できます。これらのフィルターは、RHACS Web ポータルの別のセクションまたはブックマークされた URL からページにアクセスするときに適用されます。フィルターはブラウザーのローカルストレージに保存されます。

たとえば、特定の名前付き CVE を検索するには、適切なフィルターと属性を選択して、エンティティーごとに結果の一覧をフィルタリングします。

複数のエンティティーと属性を選択するには、右矢印アイコンをクリックして別の条件を追加します。必要に応じて、テキストなどの適切な情報を入力するか、日付またはオブジェクトを選択します。

フィルターのエンティティーと属性を次の表に示します。

注記

Filtered view アイコンは、表示された結果が選択した条件に基づいてフィルターされたことを示します。Clear filters をクリックしてすべてのフィルターを削除することも、個々のフィルターをクリックして削除することもできます。

表15.2 フィルターオプション
エンティティー	属性
イメージ	Name: イメージの名前。 Operating system: イメージのオペレーティングシステム。 Tag: イメージのタグ。 Label: イメージのラベル。 Registry: イメージが配置されているレジストリー。
CVE	Name: CVE の名前。 Discovered time: RHACS が CVE を検出した日付。 CVSS: CVE の重大度。 CVE の重大度レベルには次の値が関連付けられています。 is greater than is greater than or equal to is equal to is less than or equal to is less than EPSS 確率: Exploit Prediction Scoring System (EPSS) に従って脆弱性が悪用される可能性。この EPSS データは、今後 30 日間にこの脆弱性の悪用が観察される可能性を示す割合を示します。EPSS はパートナーから観察されたエクスプロイト活動のデータを収集し、悪用が試行されたという意味ではありません。EPSS スコアは、CVE の経過時間など、他の情報とともに使用する必要があり、脆弱性の優先順位付けに役立てることができます。詳細は、RHACS and EPSS を参照してください。
Image Component	Name: イメージコンポーネントの名前 (例: `activerecord-sql-server-adapter`)。 Source: OS Python Java Ruby Node.js Go Dotnet Core Runtime Infrastructure Version: イメージコンポーネントのバージョン (例: `3.4.21`)。これを使用すると、たとえばコンポーネント名と組み合わせて、特定のバージョンのコンポーネントを検索できます。
Deployment	Name: デプロイメントの名前。 Label: デプロイメントのラベル。 Annotation: デプロイメントのアノテーション。 status: デプロイメントが非アクティブかアクティブか。
namespace	id: Kubernetes によって作成される namespace の `metadata.uid`。 Name: namespace の名前。 Label: namespace のラベル。 Annotation: namespace のアノテーション。
Cluster	id: クラスターの英数字 ID。これは、RHACS が追跡目的で割り当てる内部 ID です。 Name: クラスターの名前。 Label: クラスターのラベル。 Type: クラスターのタイプ (例: OCP)。 Platform type: プラットフォームタイプ (例: OpenShift 4 クラスター)。

CVE severity: 1 つ以上のレベルを選択できます。
CVE status: Fixable または Not fixable を選択できます。

以下のいずれかのタブをクリックして、必要なデータを表示します。
- & lt;number> CVE: CVE で整理された脆弱性を表示します。
- & lt;number> イメージ: 検出された脆弱性を含むイメージを表示します。
- & lt;number> デプロイメント: 検出された脆弱性が含まれるデプロイメントを表示します。
必要に応じて、User Workloads タブで情報を再編成する適切な方法を選択します。
- テーブルを昇順または降順で並べ替えるには、列見出しを選択します。
- テーブルに表示するカテゴリーを選択するには、次の手順を実行します。
  1. Columns をクリックします。
  2. 列を管理するための適切な方法を選択します。
    すべてのカテゴリーを表示するには、Select all をクリックします。
    デフォルトのカテゴリーにリセットするには、Reset to default をクリックします。
    選択した分類項目だけを表示するには、表示する分類項目を 1 つ以上選択し、[ 保存 ] をクリックします。
結果のリストで、CVE、イメージ名、またはデプロイメント名をクリックすると、項目に関する詳細情報が表示されます。たとえば、項目タイプに応じて、次の情報を表示できます。
- CVE が修正可能かどうか
- イメージがアクティブかどうか
- CVE を含むイメージの Dockerfile 行
- Red Hat の CVE およびその他の CVE データベースに関する情報への外部リンク

15.2.4. ノードの脆弱性の表示

RHACS を使用すると、ノード内の脆弱性を特定できます。特定される脆弱性は次のとおりです。

Kubernetes コアコンポーネントの脆弱性
Docker、CRI-O、runC、containerd などのコンテナーランタイムの脆弱性

RHACS がスキャンできるオペレーティングシステムの詳細は、「サポート対象オペレーティングシステム」を参照してください。

RHACS は現在、StackRox スキャナーとスキャナー V4 を使用したノードのスキャンをサポートしています。設定されているスキャナーによっては、脆弱性のリストに異なる結果が表示される可能性があります。詳細は、「StackRox スキャナーとスキャナー V4 のスキャン結果の違いについて」を参照してください。

手順

RHACS ポータルで、Vulnerability Management Results に移動します。
Nodes タブを選択します。
オプション：デフォルトでは、ページは監視される CVE のリストに設定されます。Show snoozed CVEs をクリックして表示します。

オプション: CVE をエンティティー別にフィルタリングするには、適切なフィルターと属性を選択します。フィルタリング条件をさらに追加するには、次の手順に従います。

リストからエンティティーまたは属性を選択します。
必要に応じて、テキストなどの適切な情報を入力するか、日付またはオブジェクトを選択します。
右矢印アイコンをクリックします。

オプション: 追加のエンティティーと属性を選択し、右矢印アイコンをクリックして追加します。フィルターのエンティティーと属性を次の表に示します。

表15.3 フィルターオプション
エンティティー	属性
ノード	Name: ノードの名前。 Operating system: ノードのオペレーティングシステム (例: Red Hat Enterprise Linux (RHEL))。 Label: ノードのラベル。 Annotation: ノードのアノテーション。 Scan time: ノードのスキャン日。
CVE	Name: CVE の名前。 Discovered time: RHACS が CVE を検出した日付。 CVSS: CVE の重大度。 CVE の重大度レベルには次の値が関連付けられています。 is greater than is greater than or equal to is equal to is less than or equal to is less than
Node Component	Name: コンポーネントの名前。 Version: コンポーネントのバージョン (例: `4.15.0-2024`)。これを使用すると、たとえばコンポーネント名と組み合わせて、特定のバージョンのコンポーネントを検索できます。
Cluster	id: クラスターの英数字 ID。これは、RHACS が追跡目的で割り当てる内部 ID です。 Name: クラスターの名前。 Label: クラスターのラベル。 Type: クラスターのタイプ (例: OCP)。 Platform type: プラットフォームのタイプ (例: OpenShift 4 クラスター)。

オプション: 結果のリストを絞り込むには、次のいずれかのタスクを実行します。
- CVE severity をクリックし、1 つ以上のレベルを選択します。
- CVE status をクリックし、Fixable または Not fixable を選択します。
データを表示するには、次のいずれかのタブをクリックします。
- <number> CVE: すべてのノードに影響を与えるすべての CVE の一覧を表示します。
- <number&gt; ノード：CVE を含むノードのリストを表示します。
CVSS スコアおよびそのノードの修正可能な CVE に従って、ノードの詳細および CVE に関する情報を表示するには、ノード一覧のノード名をクリックします。

15.2.4.1. ノードの脆弱性の特定を無効にする

ノード内の脆弱性の特定はデフォルトで有効になっています。これは RHACS ポータルから無効にできます。

手順

RHACS ポータルで、Platform Configuration Integrations に移動します。
Image Integrations セクションで StackRox Scanner を選択します。
スキャナーのリストから StackRox スキャナーを選択して詳細を表示します。
Edit をクリックします。
イメージスキャナーのみを使用し、ノードスキャナーを使用しない場合は、Image Scanner をクリックします。
Save をクリックします。

関連情報

15.2.5. Vulnerability Management での追加のビューへのアクセス

More views タブでは、次のビューを含む、システムの脆弱性を表示する追加の方法が用意されています。

すべての脆弱なイメージ：同じページのユーザーワークロード、プラットフォームの脆弱性、および非アクティブなイメージの脆弱性を表示します。
Inactive images: 現在ワークロードとしてデプロイされていない、監視されているイメージおよびイメージの脆弱性を表示します。イメージの保持設定に基づいてイメージの脆弱性が報告されます。
CVE のないイメージ：確認された CVE なしでイメージおよびワークロードを表示します。Annalyze images and deployments without observed CVEs を参照してください。
Kubernetes コンポーネント：基礎となる Kubernetes 構造に影響を与える脆弱性を表示します。

15.2.5.1. すべての脆弱なイメージの表示

同じページで、ユーザーのワークロード、プラットフォームの脆弱性、および非アクティブなイメージの脆弱性のリストを表示できます。

手順

RHACS ポータルで、Vulnerability Management Results に移動します。
More Views をクリックして、All vulnerable images を選択します。
オプション：確認された脆弱性、または延期された脆弱性、または誤検出としてマークされた脆弱性を表示できます。次のいずれかのタブをクリックします。
- 確認された: RHACS がすべてのイメージとワークロードで確認した脆弱性を一覧表示します。
- 延期: 観察されたが、遅延要求が送信され、例外管理ワークフローで承認された脆弱性を一覧表示します。
- false positives: 例外管理ワークフローで観察されたが誤検出として識別された脆弱性を一覧表示します。
オプション：以下のオプションを選択して、結果のリストを絞り込むことができます。
- Prioritize by namespace view: リスクの優先度に従って並べ替えられた namespace のリストを表示します。このビューを使用すると、最も重要な領域をすばやく特定して対処できます。このビューで、テーブル行の < number> deployments をクリックして、すべての脆弱なイメージビューに戻り、選択した namespace のデプロイメントのみを表示するためのフィルターが適用されます。
- デフォルトフィルター: このページのすべてのビューに自動的に適用される CVE 重大度および CVE ステータスのフィルターを選択できます。これらのフィルターは、RHACS Web ポータルの別のセクションまたはブックマークされた URL からページにアクセスするときに適用されます。フィルターはブラウザーのローカルストレージに保存されます。
以下のいずれかのタブをクリックして、必要なデータを表示します。
- & lt;number> CVE: CVE で整理された脆弱性を表示します。
- & lt;number> イメージ: 検出された脆弱性を含むイメージを表示します。
- & lt;number> デプロイメント: 検出された脆弱性が含まれるデプロイメントを表示します。
必要に応じて、User Workloads タブで情報を再編成する適切な方法を選択します。
- テーブルを昇順または降順で並べ替えるには、列見出しを選択します。
- テーブルをフィルタリングするには、フィルターバーを使用します。
- テーブルに表示するカテゴリーを選択するには、次の手順を実行します。
  1. Columns をクリックします。
  2. 列を管理するための適切な方法を選択します。
    すべてのカテゴリーを表示するには、Select all をクリックします。
    デフォルトのカテゴリーにリセットするには、Reset to default をクリックします。
    選択した分類項目だけを表示するには、表示する分類項目を 1 つ以上選択し、[ 保存 ] をクリックします。

たとえば、特定の名前付き CVE を検索するには、適切なフィルターと属性を選択して、エンティティーごとに結果の一覧をフィルタリングします。

複数のエンティティーと属性を選択するには、右矢印アイコンをクリックして別の条件を追加します。必要に応じて、テキストなどの適切な情報を入力するか、日付またはオブジェクトを選択します。

フィルターのエンティティーと属性を次の表に示します。

表15.4 CVE のフィルタリング
エンティティー	属性
イメージ	Name: イメージの名前。 Operating system: イメージのオペレーティングシステム。 Tag: イメージのタグ。 Label: イメージのラベル。 Registry: イメージが配置されているレジストリー。
CVE	Name: CVE の名前。 Discovered time: RHACS が CVE を検出した日付。 CVSS: CVE の重大度。 CVE の重大度レベルには次の値が関連付けられています。 is greater than is greater than or equal to is equal to is less than or equal to is less than EPSS 確率: Exploit Prediction Scoring System (EPSS) に従って脆弱性が悪用される可能性。この EPSS データは、今後 30 日間にこの脆弱性の悪用が観察される可能性を示す割合を示します。EPSS はパートナーから観察されたエクスプロイト活動のデータを収集し、悪用が試行されたという意味ではありません。EPSS スコアは、CVE の経過時間など、他の情報とともに使用する必要があり、脆弱性の優先順位付けに役立てることができます。詳細は、RHACS and EPSS を参照してください。
Image Component	Name: イメージコンポーネントの名前 (例: `activerecord-sql-server-adapter`)。 Source: OS Python Java Ruby Node.js Go Dotnet Core Runtime Infrastructure Version: イメージコンポーネントのバージョン (例: `3.4.21`)。これを使用すると、たとえばコンポーネント名と組み合わせて、特定のバージョンのコンポーネントを検索できます。
Deployment	Name: デプロイメントの名前。 Label: デプロイメントのラベル。 Annotation: デプロイメントのアノテーション。 status: デプロイメントが非アクティブかアクティブか。
namespace	id: Kubernetes によって作成される namespace の `metadata.uid`。 Name: namespace の名前。 Label: namespace のラベル。 Annotation: namespace のアノテーション。
Cluster	id: クラスターの英数字 ID。これは、RHACS が追跡目的で割り当てる内部 ID です。 Name: クラスターの名前。 Label: クラスターのラベル。 Type: クラスターのタイプ (例: OCP)。 Platform type: プラットフォームタイプ (例: OpenShift 4 クラスター)。

CVE severity: 1 つ以上のレベルを選択できます。
CVE status: Fixable または Not fixable を選択できます。

注記

Filtered view アイコンは、表示された結果が選択した条件に基づいてフィルターされたことを示します。Clear filters をクリックしてすべてのフィルターを削除することも、個々のフィルターをクリックして削除することもできます。

結果のリストで、CVE、イメージ名、またはデプロイメント名をクリックすると、項目に関する詳細情報が表示されます。たとえば、項目タイプに応じて、次の情報を表示できます。

CVE が修正可能かどうか
イメージがアクティブかどうか
CVE を含むイメージの Dockerfile 行
Red Hat の CVE およびその他の CVE データベースに関する情報への外部リンク

15.2.5.2. 非アクティブなイメージのスキャン

Red Hat Advanced Cluster Security for Kubernetes (RHACS) は、すべてのアクティブな (デプロイされた) イメージを 4 時間ごとにスキャンし、イメージスキャンの結果を更新して最新の脆弱性定義を反映します。

非アクティブな (デプロイされていない) イメージを自動的にスキャンするように RHACS を設定することもできます。

手順

RHACS ポータルで、Vulnerability Management Results をクリックします。
More Views Inactive images をクリックします。
Manage watched images をクリックします。
Image name フィールドに、レジストリーで始まりイメージタグで終わる完全修飾イメージ名を入力します (例: docker.io/library/nginx:latest)。
Add image to watch list をクリックします。
オプション: 監視対象のイメージを削除するには、Manage watched images ウィンドウでイメージを見つけて、Remove watch をクリックします。
重要
RHACS ポータルで、Platform Configuration System Configuration をクリックして、データ保持設定を表示します。
ウォッチリストから削除されたイメージに関連するすべてのデータは、System Configuration ページに記載されている日数の間 RHACS ポータルに表示され続け、その期間が終了した後にのみ削除されます。
Close をクリックして、Inactive images ページに戻ります。

15.2.5.3. 確認された CVE が含まれていないイメージとデプロイメントを分析する

脆弱性のないイメージのリストを表示すると、RHACS は、次の条件のうち少なくとも 1 つを満たすイメージを表示します。

CVE がないイメージ
CVE の検出漏れにつながるスキャナーエラーが報告されたイメージ

注記

このリストには、実際に脆弱性を含むイメージが誤って表示される場合があります。たとえば、Scanner がイメージをスキャンでき、それが Red Hat Advanced Cluster Security for Kubernetes (RHACS) に認識されているにもかかわらず、スキャンが正常に完了しなかった場合、RHACS は脆弱性を検出できません。

このシナリオは、イメージに RHACS Scanner がサポートしていないオペレーティングシステムが含まれている場合に発生します。RHACS では、イメージリスト内のイメージにマウスを移動するか、イメージ名をクリックして詳細情報を表示すると、スキャンエラーが表示されます。

手順

RHACS ポータルで、Vulnerability Management Results に移動します。
More Views をクリックし、Images without CVEs を選択します。

エンティティーで結果のリストを絞り込むには、たとえば、特定のイメージを検索するために、適切なフィルターと属性を選択します。

複数のエンティティーと属性を選択するには、右矢印アイコンをクリックして別の条件を追加します。必要に応じて、テキストなどの適切な情報を入力するか、日付またはオブジェクトを選択します。

フィルターのエンティティーと属性を次の表に示します。

注記

Filtered view アイコンは、表示された結果が選択した条件に基づいてフィルターされたことを示します。Clear filters をクリックしてすべてのフィルターを削除することも、個々のフィルターをクリックして削除することもできます。

表15.5 フィルターオプション
エンティティー	属性
イメージ	Name: イメージの名前。 Operating system: イメージのオペレーティングシステム。 Tag: イメージのタグ。 Label: イメージのラベル。 Registry: イメージが配置されているレジストリー。
Image Component	Name: イメージコンポーネントの名前 (例: `activerecord-sql-server-adapter`)。 Source: OS Python Java Ruby Node.js Go Dotnet Core Runtime Infrastructure Version: イメージコンポーネントのバージョン (例: `3.4.21`)。これを使用すると、たとえばコンポーネント名と組み合わせて、特定のバージョンのコンポーネントを検索できます。
Deployment	Name: デプロイメントの名前。 Label: デプロイメントのラベル。 Annotation: デプロイメントのアノテーション。 status: デプロイメントが非アクティブかアクティブか。
namespace	id: Kubernetes によって作成される namespace の `metadata.uid`。 Name: namespace の名前。 Label: namespace のラベル。 Annotation: namespace のアノテーション。
Cluster	id: クラスターの英数字 ID。これは、RHACS が追跡目的で割り当てる内部 ID です。 Name: クラスターの名前。 Label: クラスターのラベル。 Type: クラスターのタイプ (例: OCP)。 Platform type: プラットフォームタイプ (例: OpenShift 4 クラスター)。

以下のいずれかのタブをクリックして、必要なデータを表示します。
- & lt;number> イメージ: 検出された脆弱性を含むイメージを表示します。
- & lt;number> デプロイメント: 検出された脆弱性が含まれるデプロイメントを表示します。
必要に応じて、適切な方法を選択して、ページ内の情報を再編成します。
- テーブルに表示するカテゴリーを選択するには、次の手順を実行します。
  1. Columns をクリックします。
  2. 列を管理するための適切な方法を選択します。
    すべてのカテゴリーを表示するには、Select all をクリックします。
    デフォルトのカテゴリーにリセットするには、Reset to default をクリックします。
    選択した分類項目だけを表示するには、表示する分類項目を 1 つ以上選択し、[ 保存 ] をクリックします。
    テーブルを昇順または降順で並べ替えるには、列見出しを選択します。
結果の一覧で、イメージ名またはデプロイメント名をクリックして、アイテムに関する詳細情報を表示します。

15.2.5.4. Kubernetes 脆弱性の表示

基礎となる Kubernetes 構造に影響を与えるクラスターで脆弱性を表示できます。

手順

Vulnerability Management Results に移動します。
More Views をクリックし、Kubernetes components を選択します。
CVE またはクラスターで表示する < number> CVEs または <number> Clusters をクリックします。

オプション：結果一覧で、クラスターおよび CVE で結果をフィルタリングできます。エンティティーに基づいて脆弱性をフィルタリングするには、適切なフィルターと属性を選択します。

複数のエンティティーと属性を選択するには、右矢印アイコンをクリックして別の条件を追加します。必要に応じて、テキストなどの適切な情報を入力するか、日付またはオブジェクトを選択します。

フィルターのエンティティーと属性を次の表に示します。

表15.6 フィルターオプション
エンティティー	属性
Cluster	id: クラスターの英数字 ID。これは、RHACS が追跡目的で割り当てる内部 ID です。 Name: クラスターの名前。 Label: クラスターのラベル。 Type: クラスターのタイプ (例: OCP)。 Platform type: プラットフォームタイプ (例: OpenShift 4 クラスター)。
CVE	Name: CVE の名前。 Discovered time: RHACS が CVE を検出した日付。 CVSS: CVE の重大度。 CVE の重大度レベルには次の値が関連付けられています。 is greater than is greater than or equal to is equal to is less than or equal to is less than Type: CVE のタイプ: Kubernetes Istio OpenShift

オプション：CVE のステータスに基づいてテーブルをフィルタリングするには、CVE status ドロップダウンリストから 1 つ以上のステータスを選択します。
CVE のステータスには次の値が関連付けられています。
- Fixable
- Not fixable

注記

Filtered view アイコンは、表示された結果が選択した条件に基づいてフィルターされたことを示します。Clear filters をクリックしてすべてのフィルターを削除することも、個々のフィルターをクリックして削除することもできます。

結果のリストで、CVE またはクラスター名をクリックして、項目の詳細を表示します。たとえば、項目タイプに応じて、次の情報を表示できます。

最初に検出された日付
CVE が修正可能かどうか
Red Hat の CVE およびその他の CVE データベースに関する情報への外部リンク

15.2.6. CVE の除外

ノードとプラットフォームの CVE をスヌーズし、ノード、プラットフォーム、およびイメージの CVE を延期または誤検出としてマークすることで、RHACS で CVE を除外または無視できます。CVE が誤検出であることがわかっている場合、または CVE を軽減するための手順をすでに実行している場合は、CVE を除外することを推奨します。スヌーズされた CVE は脆弱性レポートに表示されず、ポリシー違反をトリガーすることもありません。

CVE をスヌーズして、指定した期間グローバルに無視することができます。CVE をスヌーズするのに承認は必要ありません。

注記

ノードおよびプラットフォーム CVE をスヌーズするには、ROX_VULN_MGMT_LEGACY_SNOOZE 環境変数を true に設定する必要があります。

CVE を延期したり誤検出としてマークしたりすることは、例外管理ワークフローを通じて行われます。このワークフローでは、保留中、承認済み、拒否済みの延期要求および誤検出要求を表示できます。CVE 例外の範囲を、1 つのイメージ、1 つのイメージのすべてのタグ、またはすべてのイメージに対してグローバルに設定できます。

要求を承認または拒否する場合は、コメントを追加する必要があります。CVE は、例外要求が承認されるまで監視対象ステータスのままになります。別のユーザーによって拒否される遅延に対する要求が、システム内のレポート、ポリシー違反、およびその他の場所に引き続き表示されますが、Vulnerability Management Results に移動してから以下のページにアクセスしたときに、CVE の横にある Pending 例外 ラベルで示されます。

ユーザーワークロード
プラットフォーム
すべての脆弱なイメージ
アクティブではないイメージ

延期または誤検出の例外が承認されると、次の影響があります。

User Workloads タブの Observed タブから、Deferred タブまたは False 正 タブに CVE を削除します。
CVE によって CVE に関連するポリシー違反がトリガーされなくなる
自動生成された脆弱性レポートに CVE が表示されなくなる

15.2.6.1. プラットフォームとノードの CVE のスヌーズ

インフラストラクチャーに関連しないプラットフォームおよびノードの CVE をスヌーズできます。CVE は、スヌーズを解除するまで、1 日、1 週間、2 週間、1 カ月間、または無期限にスヌーズできます。CVE のスヌーズは直ちに有効になり、追加の承認手順は必要ありません。

注記

CVE をスヌーズする機能は、デフォルトでは Web ポータルまたは API で有効になっていません。CVE をスヌーズする機能を有効にするには、ランタイム環境変数 ROX_VULN_MGMT_LEGACY_SNOOZE を true に設定してください。

手順

RHACS ポータルで、次のいずれかのタスクを実行します。
- プラットフォームの CVE を表示するには、Vulnerability Management Platform CVEs をクリックします。
- ノードの CVE を表示するには、Vulnerability Management Node CVEs をクリックします。
1 つ以上の CVE を選択します。
CVE をスヌーズするための適切な方法を選択します。
- 1 つの CVE を選択した場合は、オーバーフローメニューをクリックし、Snooze CVE を選択します。
- 複数の CVE を選択した場合は、Bulk actions Snooze CVEs をクリックします。
スヌーズする期間を選択します。
Snooze CVEs をクリックします。
CVE のスヌーズを要求したことを確認するメッセージが表示されます。

15.2.6.2. プラットフォームとノードの CVE のスヌーズ解除

以前にスヌーズしたプラットフォームおよびノードの CVE のスヌーズを解除できます。

注記

CVE をスヌーズする機能は、デフォルトでは Web ポータルまたは API で有効になっていません。CVE をスヌーズする機能を有効にするには、ランタイム環境変数 ROX_VULN_MGMT_LEGACY_SNOOZE を true に設定してください。

手順

RHACS ポータルで、次のいずれかのタスクを実行します。
- プラットフォームの CVE のリストを表示するには、Vulnerability Management Platform CVEs をクリックします。
- ノードの CVE のリストを表示するには、Vulnerability Management Node CVEs をクリックします。
スヌーズされた CVE のリストを表示するために、ヘッダービューで Show snoozed CVEs をクリックします。
スヌーズされた CVE のリストから CVE を 1 つ以上選択します。
CVE のスヌーズを解除するには、適切な方法を選択します。
- 1 つの CVE を選択した場合は、オーバーフローメニューをクリックし、Unsnooze CVE を選択します。
- 複数の CVE を選択した場合は、Bulk actions Unsnooze CVEs をクリックします。
もう一度 Unsnooze CVEs をクリックします。
CVE のスヌーズ解除を要求したことを確認するメッセージが表示されます。

15.2.6.3. スヌーズされた CVE の表示

スヌーズされたプラットフォームおよびノード CVE のリストを表示できます。

注記

CVE をスヌーズする機能は、デフォルトでは Web ポータルまたは API で有効になっていません。CVE をスヌーズする機能を有効にするには、ランタイム環境変数 ROX_VULN_MGMT_LEGACY_SNOOZE を true に設定してください。

手順

RHACS ポータルで、次のいずれかのタスクを実行します。
- プラットフォームの CVE のリストを表示するには、Vulnerability Management Platform CVEs をクリックします。
- ノードの CVE のリストを表示するには、Vulnerability Management Node CVEs をクリックします。
Show snoozed CVEs をクリックし、リストを表示します。

15.2.6.4. 脆弱性をグローバルに誤検出としてマークする

グローバルに、つまりすべてのイメージを対象に脆弱性を誤検出としてマークすることで、脆弱性の例外を作成できます。例外管理ワークフローで、脆弱性を誤検出としてマークする要求の承認を受ける必要があります。

前提条件

VulnerabilityManagementRequests リソースに対する write 権限がある。

手順

RHACS ポータルで、Vulnerability Management Results をクリックします。
User Workloads をクリックします。
CVE をマークするための適切な方法を選択します。
- 1 つの CVE をマークする場合は、次の手順を実行します。
  1. 操作を実行する CVE が含まれている行を見つけます。
  2. 特定した CVE のオーバーフローメニューをクリックしMark as false positive を選択します。
- 複数の CVE をマークする場合は、次の手順を実行します。
  1. 各 CVE を選択します。
  2. Bulk actions ドロップダウンリストから、Mark as false positives を選択します。
例外を要求する理由を入力します。
オプション: 例外要求に含まれる CVE を確認するには、CVE selections をクリックします。
Submit request をクリックします。
例外を要求したことを確認するメッセージが表示されます。
オプション: 承認リンクをコピーして組織の例外承認者と共有するには、コピーアイコンをクリックします。
Close をクリックします。

15.2.6.5. イメージまたはイメージタグの脆弱性を誤検出としてマークする

脆弱性の例外を作成する場合、1 つのイメージを対象に、またはイメージに関連付けられているすべてのタグを対象に、脆弱性を誤検出としてマークすることができます。例外管理ワークフローで、脆弱性を誤検出としてマークする要求の承認を受ける必要があります。

前提条件

VulnerabilityManagementRequests リソースに対する write 権限がある。

手順

RHACS ポータルで、Vulnerability Management Results をクリックします。
User Workloads タブをクリックします。
イメージのリストを表示するために、<number> Images をクリックします。
誤検出としてマークするイメージがリストされている行を見つけて、イメージ名をクリックします。
CVE をマークするための適切な方法を選択します。
- 1 つの CVE をマークする場合は、次の手順を実行します。
  1. 操作を実行する CVE が含まれている行を見つけます。
  2. 特定した CVE のオーバーフローメニューをクリックしMark as false positive を選択します。
- 複数の CVE をマークする場合は、次の手順を実行します。
  1. 各 CVE を選択します。
  2. Bulk actions ドロップダウンリストから、Mark as false positives を選択します。
範囲を選択します。イメージに関連付けられているすべてのタグを選択するか、イメージのみを選択できます。
例外を要求する理由を入力します。
オプション: 例外要求に含まれる CVE を確認するには、CVE selections をクリックします。
Submit request をクリックします。
例外を要求したことを確認するメッセージが表示されます。
オプション: 承認リンクをコピーして組織の例外承認者と共有するには、コピーアイコンをクリックします。
Close をクリックします。

15.2.6.6. 延期された CVE と誤検出された CVE の表示

ユーザーワークロード ページを使用して、遅延した CVE または誤検出としてマークされた CVE を表示できます。

手順

延期された CVE、または誤検出としてマークされた CVE を表示するには、承認者によって承認された例外を除き、Vulnerability Management Results をクリックします。
User Workloads タブをクリックします。
次のいずれかの操作を実行します。
- 延期された CVE を表示するには、Deferred タブをクリックします。
- 誤検出としてマークされた CVE を表示するには、False positives タブをクリックします。
  注記
  延期された CVE または誤検出の CVE を承認、拒否、または変更するには、Vulnerability Management Exception Management をクリックします。
オプション: 延期または誤検出に関する追加情報を表示するには、Request details 列の View をクリックします。Exception Management ページが表示されます。

15.2.6.7. CVE の延期

軽減策の有無にかかわらずリスクを受け入れ、CVE を延期することができます。例外管理ワークフローで延期要求の承認を受ける必要があります。

前提条件

VulnerabilityManagementRequests リソースに対する write 権限がある。

手順

RHACS ポータルで、Vulnerability Management Results をクリックします。
User Workloads タブをクリックします。
CVE を延期するための適切な方法を選択します。
- 単一の CVE を延期する場合は、以下の手順を実行します。
  1. 誤検出としてマークする CVE を含む行を見つけます。
  2. 特定した CVE のオーバーフローメニューをクリックし、Defer CVE をクリックします。
- 複数の CVE を延期する場合は、次の手順を実行します。
  1. 各 CVE を選択します。
  2. Bulk actions Defer CVEs をクリックします。
延期期間を選択します。
例外を要求する理由を入力します。
オプション: 例外メニューに含まれる CVE を確認するには、CVE selections クリックします。
Submit request をクリックします。
延期を要求したことを確認するメールが届きます。
オプション: 承認リンクをコピーして組織の例外承認者と共有するには、コピーアイコンをクリックします。
Close をクリックします。

15.2.6.7.1. 脆弱性例外の有効期限の設定

脆弱性の管理例外に使用できる期間を設定できます。このオプションは、ユーザーが CVE の延期を要求した場合に利用できます。

前提条件

VulnerabilityManagementRequests リソースに対する write 権限がある。

手順

RHACS ポータルで、Platform Configuration Exception Configuration に移動します。
CVE の延期を要求するときにユーザーが選択できる有効期限を設定できます。期間を有効にすると、ユーザーが利用できるようになります。無効にすると、ユーザーインターフェイスから期間が削除されます。

15.2.6.8. CVE を延期または誤検出としてマークするための例外要求の確認と管理

CVE を延期および誤検出としてマークするための例外要求を確認、更新、承認、または拒否できます。

前提条件

VulnerabilityManagementRequests リソースに対する write 権限がある。

手順

保留中のリクエストのリストを表示するために、次のいずれかのタスクを実行します。
- 承認リンクをブラウザーに貼り付けます。
- Vulnerability Management Exception Management をクリックし、Pending requests タブで要求の名前をクリックします。
脆弱性の範囲を確認し、承認するかどうかを決定します。
保留中の要求を管理するための適切なオプションを選択します。
- 要求を拒否し、CVE を監視対象状態に戻す場合は、Deny request をクリックします。
  拒否の理由を入力し、Deny をクリックします。
- 要求を承認する場合は、Approve request をクリックします。
  承認の理由を入力し、Approve をクリックします。
作成した要求をキャンセルし、CVE を監視対象ステータスに戻すには、Cancel request をクリックします。キャンセルできるのは、自分が作成した要求だけです。
作成した要求の延期期間または理由を更新するには、Update request をクリックします。更新できるのは、自分が作成した要求だけです。
変更を加えたら、Submit request をクリックします。
要求を送信したことを確認するメールが届きます。

15.2.7. CVE が含まれるコンポーネントを取り込んだイメージ内の Dockerfile 行を特定する

CVE が含まれるコンポーネントを取り込んだイメージ内の Dockerfile 行を特定できます。

手順

問題のある行を表示するには、以下を行います。

RHACS ポータルで、Vulnerability Management Results をクリックします。
User Workloads をクリックします。
タブをクリックすると、CVE の種類が表示されます。次のタブがあります。
- Observed
- Deferred
- False positives
CVE のリストで CVE 名をクリックすると、CVE の詳細を含むページが開きます。Affected components 列に、CVE が含まれるコンポーネントがリスト表示されます。
CVE を展開すると、そのコンポーネントを取り込んだ Dockerfile 行などの追加情報が表示されます。

15.2.8. 新しいコンポーネントバージョンの検索

以下の手順では、アップグレード先のコンポーネントのバージョンを見つけます。

手順

RHACS ポータルで、Vulnerability Management Results をクリックします。
User Workloads タブをクリックします。
<number> Images をクリックしてイメージを選択します。
追加情報を表示するために、CVE を見つけて展開アイコンをクリックします。
追加情報には、CVE が含まれるコンポーネントと、CVE が修正されたバージョン (修正可能な場合) が含まれています。
イメージを新しいバージョンに更新します。

15.2.9. API を使用したワークロードの脆弱性のエクスポート

API を使用して、Red Hat Advanced Cluster Security for Kubernetes のワークロードの脆弱性をエクスポートできます。

これらの例では、ワークロードはデプロイメントとそれに関連付けられたイメージで構成されます。エクスポートでは、/v1/export/vuln-mgmt/workloads ストリーミング API が使用されます。デプロイメントとイメージを組み合わせてエクスポートできます。images ペイロードには完全な脆弱性情報が含まれています。出力はストリーミングされ、次のスキーマを持ちます。

{"result": {"deployment": {...}, "images": [...]}}
...
{"result": {"deployment": {...}, "images": [...]}}

次の例では、これらの環境変数が設定されていることを前提としています。

ROX_API_TOKEN: Deployment および Image リソースの view 権限を持つ API トークン
ROX_ENDPOINT: Central の API が利用できるエンドポイント
すべてのワークロードをエクスポートするには、次のコマンドを入力します。
```
$ curl -H "Authorization: Bearer $ROX_API_TOKEN" $ROX_ENDPOINT/v1/export/vuln-mgmt/workloads
```
クエリータイムアウトを 60 秒にしてすべてのワークロードをエクスポートするには、次のコマンドを入力します。
```
$ curl -H "Authorization: Bearer $ROX_API_TOKEN" $ROX_ENDPOINT/v1/export/vuln-mgmt/workloads?timeout=60
```
クエリー Deployment:app Namespace:default に一致するすべてのワークロードをエクスポートするには、次のコマンドを入力します。
```
$ curl -H "Authorization: Bearer $ROX_API_TOKEN" $ROX_ENDPOINT/v1/export/vuln-mgmt/workloads?query=Deployment%3Aapp%2BNamespace%3Adefault
```

関連情報

検索およびフィルタリング

15.2.1. RHACS ポータルでの脆弱性管理データの表示

15.2.2. ユーザーのワークロード脆弱性の表示

15.2.3. プラットフォームの脆弱性の表示

15.2.4. ノードの脆弱性の表示

15.2.4.1. ノードの脆弱性の特定を無効にする

15.2.5. Vulnerability Management での追加のビューへのアクセス

15.2.5.1. すべての脆弱なイメージの表示

15.2.5.2. 非アクティブなイメージのスキャン

15.2.5.3. 確認された CVE が含まれていないイメージとデプロイメントを分析する

15.2.5.4. Kubernetes 脆弱性の表示

15.2.6. CVE の除外

15.2.6.1. プラットフォームとノードの CVE のスヌーズ

15.2.6.2. プラットフォームとノードの CVE のスヌーズ解除

15.2.6.3. スヌーズされた CVE の表示

15.2.6.4. 脆弱性をグローバルに誤検出としてマークする

15.2.6.5. イメージまたはイメージタグの脆弱性を誤検出としてマークする

15.2.6.6. 延期された CVE と誤検出された CVE の表示

15.2.6.7. CVE の延期

15.2.6.7.1. 脆弱性例外の有効期限の設定

15.2.6.8. CVE を延期または誤検出としてマークするための例外要求の確認と管理

15.2.7. CVE が含まれるコンポーネントを取り込んだイメージ内の Dockerfile 行を特定する

15.2.8. 新しいコンポーネントバージョンの検索

15.2.9. API を使用したワークロードの脆弱性のエクスポート

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Red Hat legal and privacy links

Red Hat legal and privacy links