Red Hat Summit2.5. アップデーターの設定
アップデーターは clair-config.yaml ファイルの updaters.sets キーによって設定できます。
-
setsフィールドが入力されていない場合、デフォルトですべてのセットが使用されます。すべてのセットを使用する場合、Clair は各アップデーターの URL にアクセスしようとします。プロキシー環境を使用している場合は、これらの URL をプロキシー許可リストに追加する必要があります。 - アップデーターがマッチャープロセス内で自動的に実行されている場合 (デフォルトの設定)、アップデーターを実行する期間はマッチャーの設定フィールドで設定されます。
2.5.1. 特定のアップデーターセットの選択
以下を参考に、Red Hat Quay デプロイメント用の 1 つまたは複数のアップデーターを選択してください。
複数のアップデーター用に Clair を設定する
複数の特定のアップデーター
#...
updaters:
sets:
- alpine
- aws
- osv
#...
Alpine 用の Clair の設定
Alpine の config.yaml の例
#...
updaters:
sets:
- alpine
#...
AWS 用の Clair の設定
AWS の config.yaml の例
#...
updaters:
sets:
- aws
#...
Debian 用の Clair の設定
Debian の config.yaml の例
#...
updaters:
sets:
- debian
#...
Clair CVSS 用の Clair の設定
Clair CVSS の config.yaml の例
#...
updaters:
sets:
- clair.cvss
#...
Oracle 用の Clair の設定
Oracle の config.yaml の例
#...
updaters:
sets:
- oracle
#...
Photon 用の Clair の設定
Photon の config.yaml の例
#...
updaters:
sets:
- photon
#...
SUSE 用の Clair の設定
SUSE の config.yaml の例
#...
updaters:
sets:
- suse
#...
Ubuntu 用の Clair の設定
Ubuntu の config.yaml の例
#...
updaters:
sets:
- ubuntu
#...
OSV 用の Clair の設定
OSV の config.yaml の例
#...
updaters:
sets:
- osv
#...
2.5.2. Red Hat Enterprise Linux (RHEL) のすべての脆弱性を対象とするようにアップデーターセットを選択する
Red Hat Enterprise Linux (RHEL) のすべての脆弱性を対象とするには、次のアップデーターセットを使用する必要があります。
-
rhel。このアップデーターは、RHEL に影響を与える脆弱性に関する最新情報を提供します。 -
rhcc。このアップデーターは、Red Hat のコンテナーイメージに関連する脆弱性を追跡します。 -
clair.cvss。このアップデーターは、Common Vulnerabilities and Exposures (CVE) スコアを提供し、脆弱性の重大度とリスク評価の全体像を提供します。 -
osv。このアップデーターは、オープンソースソフトウェアコンポーネントの脆弱性の追跡に特化しています。RHEL 製品では Java と Go がよく使用されているため、このアップデーターが推奨されます。
RHEL アップデーターの例
#...
updaters:
sets:
- rhel
- rhcc
- clair.cvss
- osv
#...
2.5.3. 高度なアップデーター設定
場合によっては、特定の動作に合わせてアップデーターを設定する必要があります。たとえば、Open Source Vulnerabilities (OSV) アップデーター用に特定のエコシステムを許可リストに登録する場合などです。
高度なアップデータ設定は、プロキシーデプロイメントまたはエアギャップデプロイメントで役立つ場合があります。このような環境用の特定のアップデーター設定は、updaters オブジェクトの config 環境変数の下にキーを配置することで渡すことができます。Clair のログを調べて名前を再確認してください。
次の YAML スニペットで、一部の Clair アップデーターで利用できるさまざまな設定を詳しく説明します。
ユーザーの増加に合わせて高度なアップデーター設定を行う必要はありません。
alpine アップデーターの設定
#...
updaters:
sets:
- apline
config:
alpine:
url: https://secdb.alpinelinux.org/
#...debian アップデーターの設定
#...
updaters:
sets:
- debian
config:
debian:
mirror_url: https://deb.debian.org/
json_url: https://security-tracker.debian.org/tracker/data/json
#...clair.cvss アップデーターの設定
#...
updaters:
config:
clair.cvss:
url: https://nvd.nist.gov/feeds/json/cve/1.1/
#...oracle アップデーターの設定
#...
updaters:
sets:
- oracle
config:
oracle-2023-updater:
url:
- https://linux.oracle.com/security/oval/com.oracle.elsa-2023.xml.bz2
oracle-2022-updater:
url:
- https://linux.oracle.com/security/oval/com.oracle.elsa-2022.xml.bz2
#...photon アップデーターの設定
#...
updaters:
sets:
- photon
config:
photon:
url: https://packages.vmware.com/photon/photon_oval_definitions/
#...rhel アップデーターの設定
#...
updaters:
sets:
- rhel
config:
rhel:
url: https://access.redhat.com/security/data/oval/v2/PULP_MANIFEST
ignore_unpatched: true 1
#...- 1
- ブール値。対応するパッチや更新が利用できない脆弱性に関する情報を含めるかどうか。
rhcc アップデーターの設定
#...
updaters:
sets:
- rhcc
config:
rhcc:
url: https://access.redhat.com/security/data/metrics/cvemap.xml
#...suse アップデーターの設定
#...
updaters:
sets:
- suse
config:
suse:
url: https://support.novell.com/security/oval/
#...ubuntu アップデーターの設定
#...
updaters:
config:
ubuntu:
url: https://api.launchpad.net/1.0/
name: ubuntu
force: 1
- name: focal 2
version: 20.04 3
#...osv アップデーターの設定
#...
updaters:
sets:
- osv
config:
osv:
url: https://osv-vulnerabilities.storage.googleapis.com/
allowlist: 1
- npm
- pypi
#...- 1
- 許可するエコシステムのリスト。未設定のままにすると、すべてのエコシステムが許可されます。小文字を使用する必要があります。サポートされているエコシステムのリストは、定義されているエコシステム のドキュメントを参照してください。
2.5.4. Clair アップデーターコンポーネントの無効化
一部のシナリオでは、Clair アップデーターコンポーネントを無効にする場合があります。切断された環境で Red Hat Quay を実行する場合は、アップデーターを無効にする必要があります。
次の例では、Clair アップデーターが無効になっています。
#... matcher: disable_updaters: true #...
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}