Red Hat Summit10.5. 취약점 점수 이해
RHACS 포털에서는 각 취약점에 대한 단일 CVSS(Common Vulnerability Scoring System) 기본 점수가 표시됩니다. Red Hat Advanced Cluster Security for Kubernetes는 다음 기준에 따라 CVSS 점수를 보여줍니다.
CVSS v3 점수를 사용할 수 있는 경우 Kubernetes용 Red Hat Advanced Cluster Security의 점수와 점수가
v3과 함께 표시됩니다. 예:6.5 (v3)참고CVSS v3 점수는 스캐너 1.3.5 이상 버전을 사용하는 경우에만 사용할 수 있습니다.
-
CVSS v3 점수를 사용할 수 없는 경우 Kubernetes용 Red Hat Advanced Cluster Security는 CVSS v2 점수만 표시합니다. 예를 들면
6.5입니다.
API를 사용하여 CVSS 점수를 얻을 수 있습니다. CVE(Common Vulnerabilities and Exposures)에 CVSS v3 정보를 사용할 수 있는 경우 응답에는 CVSS v3 및 CVSS v2 정보가 모두 포함됩니다.
일부 CVE의 경우 RHSA (Red Hat Security Advisory) CVSS 점수는 RHACS 포털에 표시되는 CVSS 점수와 다를 수 있습니다. 이러한 차이점은 하나의 RHSA에 여러 CVE가 포함될 수 있으며 Red Hat은 취약점이 다른 Red Hat 제품에 미치는 영향을 기반으로 다른 점수를 할당하는 경우가 있기 때문입니다.
이러한 경우 Kubernetes용 Red Hat Advanced Cluster Security:
- NVD(National Vulnerability Database)에서 가장 높은 CVE를 찾아 RHSA의 CVSS 점수로 표시합니다.
- RHSA의 각 CVE를 원래 CVSS 점수( NVD에서)와 함께 별도의 취약점으로 분리하여 각 CVE를 보고 특정 CVE에 대한 정책을 생성할 수 있습니다.
