지원콘솔개발자평가판 시작연락처

14.2. 취약점 보기 및 해결

일반적인 취약점 관리 작업에는 취약점을 식별하고 우선 순위 지정, 해결 및 새로운 위협을 모니터링하는 작업이 포함됩니다.

14.2.1. 취약점 보기

RHACS는 취약점 관리 대시보드에서 시스템에서 발견된 취약점을 볼 수 있었습니다. 대시보드는 RHACS 4.5에서 더 이상 사용되지 않으며 향후 릴리스에서 제거됩니다. 대시보드에 대한 자세한 내용은 취약점 관리 대시보드 사용을 참조하십시오.

취약점 관리 워크로드 CVE 페이지는 시스템의 클러스터에서 실행되는 애플리케이션의 취약점에 대한 정보를 제공합니다. 이미지 및 배포에서 취약점 정보를 볼 수 있습니다. 워크로드 CVE 페이지에서는 취약점이 있는 이미지 및 배포를 보고 이미지, 배포, 네임스페이스, 클러스터, CVE, 구성 요소 소스별로 필터링하는 기능을 포함하여 고급 필터링 기능을 제공합니다.

14.2.2. 워크로드 CVE 보기

취약점 관리 워크로드 CVE 페이지는 시스템의 클러스터에서 실행되는 애플리케이션의 취약점에 대한 정보를 제공합니다. 이미지 및 배포에서 취약점 정보를 볼 수 있습니다. 워크로드 CVE 페이지는 취약점이 있는 이미지 및 배포를 보고 이미지, 배포, 네임스페이스, 클러스터, CVE, 구성 요소 소스별로 필터링하는 기능을 포함하여 대시보드보다 고급 필터링 기능을 제공합니다.

프로세스

  1. 모든 이미지의 모든 CVE를 표시하려면 이미지 취약점 보기 목록에서 이미지 취약점 을 선택합니다.

  2. View image vulnerabilities 목록에서 이미지를 보는 방법을 선택합니다. 다음 옵션이 제공됩니다.

    • 이미지 취약점: RHACS가 CVE를 발견한 이미지 및 배포를 표시합니다.

    • 취약점이 없는 이미지: 다음 조건 중 하나 이상을 충족하는 이미지를 표시합니다.

      • CVE가 없는 이미지

      • CVE가 없는 잘못된 정보가 발생할 수 있는 스캐너 오류를 보고하는 이미지

        참고

        실제로 취약점이 포함된 이미지는 실수로 이 목록에 표시될 수 있습니다. 예를 들어 스캐너가 이미지를 스캔할 수 있고 RHACS로 알려져 있지만 검사가 성공적으로 완료되지 않은 경우 취약점을 감지할 수 없습니다. 이 시나리오는 이미지에 RHACS 스캐너에서 지원하지 않는 운영 체제가 있는 경우 발생합니다. 이미지 목록에서 이미지를 마우스로 가리키거나 이미지 이름을 클릭하면 검사 오류가 표시됩니다.

  3. 엔터티별 CVE를 필터링하려면 적절한 필터 및 속성을 선택합니다.

    여러 엔터티 및 특성을 선택하려면 오른쪽 화살표 아이콘을 클릭하여 다른 기준을 추가합니다. 선택 사항에 따라 텍스트와 같은 적절한 정보를 입력하거나 날짜 또는 개체를 선택합니다.

    필터 엔터티 및 속성은 다음 표에 나열되어 있습니다.

    표 14.1. CVE 필터링
    엔터티속성

    이미지

    • name: 이미지의 이름입니다.
    • 운영 체제: 이미지의 운영 체제입니다.
    • tag : 이미지의 태그입니다.
    • label : 이미지의 레이블입니다.
    • registry: 이미지가 있는 레지스트리입니다.

    CVE

    • name: CVE의 이름입니다.
    • 검색된 시간: RHACS가 CVE를 발견한 날짜입니다.

    • CVSS: CVE의 심각도 수준입니다. 심각도 수준에 대해 다음 옵션에서 선택할 수 있습니다.

      • 보다 크거나
      • 크거나 같음
      • 이 값과 같습니다
      • 작거나 같음
      • 보다 작음

    이미지 구성 요소

    • name : 이미지 구성 요소의 이름 (예: activerecord-sql-server-adapter)

    • 소스:

      • OS
      • Python
      • Java
      • Ruby
      • Node.js
      • Go
      • dotnet Core Runtime
      • 인프라
    • 버전: 이미지 구성 요소의 버전 (예: 3.4.21 ). 이를 사용하여 구성 요소 이름과 함께 특정 버전의 구성 요소(예:)를 검색할 수 있습니다.

    Deployment

    • name: 배포 이름입니다.
    • label: 배포의 레이블입니다.
    • annotation: 배포에 대한 주석입니다.

    네임스페이스

    • name: 네임스페이스의 이름입니다.
    • label : 네임스페이스의 레이블입니다.
    • annotation: 네임스페이스의 주석입니다.

    Cluster

    • name: 클러스터의 이름입니다.
    • label : 클러스터의 레이블입니다.
    • type : 클러스터 유형 (예: OCP)입니다.
    • 플랫폼 유형: 플랫폼 유형 (예: OpenShift 4 클러스터)

  4. 다음 옵션을 선택하여 결과 목록을 구체화할 수 있습니다.

    • 네임스페이스 보기별 우선순위: 위험 우선 순위에 따라 정렬된 네임스페이스 목록을 표시합니다. 이 보기를 사용하여 가장 중요한 영역을 신속하게 식별하고 해결할 수 있습니다. 이 보기에서 테이블 행에서 < number> 배포를 클릭하여 선택한 네임스페이스에 대한 배포, 이미지 및 CVE만 표시하도록 필터가 적용된 워크로드 CVE 목록 뷰로 돌아갑니다.
    • 기본 필터: 워크로드 CVE 페이지를 방문할 때 자동으로 적용되는 CVE 심각도 및 CVE 상태에 대한 필터를 선택할 수 있습니다. 이러한 필터는 이 페이지에만 적용되며 RHACS 웹 포털의 다른 섹션 또는 북마크 URL에서 페이지를 방문할 때 적용됩니다. 브라우저의 로컬 스토리지에 저장됩니다.
    • CVE 심각도: 하나 이상의 수준을 선택할 수 있습니다.
    • CVE 상태: 수정 가능 또는 수정할 수 없음을 선택할 있습니다.
참고

필터링된 뷰 아이콘은 선택한 기준에 따라 표시된 결과가 필터링 되었음을 나타냅니다. 필터 지우기 를 클릭하여 모든 필터를 제거하거나 개별 필터를 클릭하여 제거할 수 있습니다.

결과 목록에서 CVE, 이미지 이름 또는 배포 이름을 클릭하여 항목에 대한 자세한 정보를 확인합니다. 예를 들어 항목 유형에 따라 다음 정보를 볼 수 있습니다.

  • CVE를 수정할 수 있는지 여부
  • 이미지가 활성화되어 있는지 여부
  • CVE가 포함된 이미지의 Dockerfile 행
  • Red Hat 및 기타 CVE 데이터베이스의 CVE에 대한 외부 링크

검색 예

다음 그래픽은 해당 클러스터에서 수정 가능한 상태의 심각 및 중요 심각도의 CVE를 보기 위해 staging-secured-cluster 라는 클러스터의 검색 기준의 예를 보여줍니다.

심각 및 중요 심각도 및 수정 가능한 상태의 CVE의 'staging-secured-cluster'에 대한 검색을 표시하는 워크로드 CVE

14.2.3. 노드 CVE 보기

RHACS를 사용하여 노드의 취약점을 식별할 수 있습니다. 확인된 취약점은 다음과 같습니다.

  • 핵심 Kubernetes 구성 요소의 취약점
  • Docker, CRI-O, runC 및 containerd와 같은 컨테이너 런타임의 취약점

RHACS에서 검사할 수 있는 운영 체제에 대한 자세한 내용은 "지원되는 운영 체제"를 참조하십시오.

프로세스

  1. RHACS 포털에서 취약점 관리 노드 CVE를 클릭합니다.

  2. 데이터를 보려면 다음 작업을 수행합니다.

    • 모든 노드에 영향을 미치는 모든 CVE 목록을 보려면 < number> CVE를 선택합니다.
    • CVE가 포함된 노드 목록을 보려면 < number> 노드를 선택합니다.

  3. 선택 사항: 엔터티에 따라 CVE를 필터링하려면 적절한 필터 및 속성을 선택합니다. 필터링 기준을 추가하려면 다음 단계를 따르십시오.

    1. 목록에서 엔터티 또는 특성을 선택합니다.
    2. 선택 사항에 따라 텍스트와 같은 적절한 정보를 입력하거나 날짜 또는 개체를 선택합니다.
    3. 오른쪽 화살표 아이콘을 클릭합니다.

    4. 선택 사항: 추가 엔터티 및 특성을 선택한 다음 오른쪽 화살표 아이콘을 클릭하여 추가합니다. 필터 엔터티 및 속성은 다음 표에 나열되어 있습니다.

      표 14.2. CVE 필터링
      엔터티속성

      노드

      • name: 노드의 이름입니다.
      • 운영 체제: 노드의 운영 체제(예: RHEL(Red Hat Enterprise Linux))입니다.
      • label: 노드의 레이블입니다.
      • annotation: 노드의 주석입니다.
      • 검사 시간: 노드의 검사 날짜입니다.

      CVE

      • name: CVE의 이름입니다.
      • 검색된 시간: RHACS가 CVE를 발견한 날짜입니다.

      • CVSS: CVE의 심각도 수준입니다. 심각도 수준에 대해 다음 옵션에서 선택할 수 있습니다.

        • 보다 크거나
        • 크거나 같음
        • 이 값과 같습니다
        • 작거나 같음
        • 보다 작음

      노드 구성 요소

      • name: 구성 요소의 이름입니다.
      • Version: 구성 요소의 버전입니다(예: 4.15.0-2024 ). 이를 사용하여 구성 요소 이름과 함께 특정 버전의 구성 요소(예:)를 검색할 수 있습니다.

      Cluster

      • name: 클러스터의 이름입니다.
      • label : 클러스터의 레이블입니다.
      • type: 클러스터 유형입니다(예: OCP).
      • 플랫폼 유형: 플랫폼의 유형입니다(예: OpenShift 4 클러스터).

  4. 선택 사항: 결과 목록을 구체화하려면 다음 작업 중 하나를 수행합니다.

    • CVE 심각도 를 클릭한 다음 하나 이상의 수준을 선택합니다.
    • CVE 상태를 클릭한 다음 Fixable 또는 Not fixable 을 선택합니다.
  5. 선택 사항: CVSS 점수 및 해당 노드의 수정 가능한 CVE에 따라 노드의 세부 정보와 CVE에 대한 정보를 보려면 노드 목록에서 노드 이름을 클릭합니다.

14.2.3.1. 노드의 취약점 식별 비활성화

노드의 취약점 식별은 기본적으로 활성화되어 있습니다. RHACS 포털에서 비활성화할 수 있습니다.

프로세스

  1. RHACS 포털에서 플랫폼 구성 통합으로 이동합니다.
  2. 이미지 통합 에서 StackRox 스캐너 를 선택합니다.
  3. 스캐너 목록에서 StackRox 스캐너 를 선택하여 세부 정보를 확인합니다.
  4. 편집을 클릭합니다.
  5. 노드 스캐너가 아닌 이미지 스캐너만 사용하려면 이미지 스캐너 를 클릭합니다.
  6. 저장을 클릭합니다.

추가 리소스

14.2.4. 플랫폼 CVE 보기

플랫폼 CVE 페이지에서는 시스템의 클러스터의 취약점에 대한 정보를 제공합니다.

프로세스

  1. 취약점 관리 플랫폼 CVE를 클릭합니다.

  2. 적절한 필터 및 특성을 선택하여 엔터티별로 CVE를 필터링할 수 있습니다. 오른쪽 화살표 아이콘을 클릭하여 여러 엔터티 및 속성을 선택하여 다른 기준을 추가할 수 있습니다. 선택 사항에 따라 텍스트와 같은 적절한 정보를 입력하거나 날짜 또는 개체를 선택합니다. 필터 엔터티 및 속성은 다음 표에 나열되어 있습니다.

    표 14.3. CVE 필터링
    엔터티속성

    Cluster

    • name: 클러스터의 이름입니다.
    • label : 클러스터의 레이블입니다.
    • type : 클러스터 유형 (예: OCP)입니다.
    • 플랫폼 유형: 플랫폼 유형 (예: OpenShift 4 클러스터)

    CVE

    • name: CVE의 이름입니다.
    • 검색된 시간: RHACS가 CVE를 발견한 날짜입니다.

    • CVSS: CVE의 심각도 수준입니다. 심각도 수준에 대해 다음 옵션에서 선택할 수 있습니다.

      • 보다 크거나
      • 크거나 같음
      • 이 값과 같습니다
      • 작거나 같음
      • 보다 작음

    • Type: CVE의 유형입니다.

      • Kubernetes CVE
      • Istio CVE
      • OpenShift CVE
  3. CVE 상태로 필터링하려면 CVE 상태를 클릭하고 Fixable 또는 Not fixable 을 선택합니다.
참고

필터링된 뷰 아이콘은 선택한 기준에 따라 표시된 결과가 필터링 되었음을 나타냅니다. 필터 지우기 를 클릭하여 모든 필터를 제거하거나 개별 필터를 클릭하여 제거할 수 있습니다.

결과 목록에서 CVE를 클릭하여 항목에 대한 자세한 정보를 확인합니다. 예를 들어 채워진 경우 다음 정보를 볼 수 있습니다.

  • CVE 문서
  • Red Hat 및 기타 CVE 데이터베이스의 CVE에 대한 외부 링크
  • CVE를 수정할 수 있는지 또는 수정할 수 없는 경우
  • 영향을 받는 클러스터 목록

14.2.5. CVE 제외

노드 및 플랫폼 CVE를 스노우팅하여 RHACS의 CVE를 제외하거나 무시하고 노드, 플랫폼 및 이미지 CVE를 잘못된 긍정으로 지연하거나 무시할 수 있습니다. CVE가 잘못된 긍정이거나 CVE를 완화하기 위한 단계를 이미 수행한 경우 CVE를 제외할 수 있습니다. sno Cryostated CVE는 취약점 보고에 표시되지 않거나 정책 위반을 트리거하지 않습니다.

CVE를 스누핑하여 지정된 기간 동안 전 세계적으로 무시하도록 할 수 있습니다. CVE를 스노우하는 것은 승인이 필요하지 않습니다.

참고

노드 및 플랫폼 CVE에서 ROX_VULN_MGMT_LEGACY_SNOOZE 환경 변수가 true 로 설정되어야 합니다.

CVE를 예외 관리 워크플로우를 통해 잘못 구성하거나 잘못된 것으로 표시합니다. 이 워크플로는 보류 중, 승인, 거부된 지연 및 잘못된 긍정 요청을 볼 수 있는 기능을 제공합니다. CVE 예외의 범위를 단일 이미지, 단일 이미지의 모든 태그 또는 모든 이미지에 대해 전역적으로 지정할 수 있습니다.

요청을 승인하거나 거부할 때 주석을 추가해야 합니다. CVE는 예외 요청이 승인될 때까지 관찰된 상태에 남아 있습니다. 다른 사용자가 거부한 deferral에 대한 보류 중인 요청은 보고서, 정책 위반 및 시스템의 기타 위치에 계속 표시되지만 취약점 관리 워크로드 CVE를 방문할 때 CVE 옆에 Pending 예외로 표시됩니다.

deferral 또는 false positive에 대한 승인된 예외는 다음과 같은 효과가 있습니다.

  • 취약점 관리 워크플로우 CVE의 Observed 탭에서 CVE 를 추측 또는 False positive 탭으로 제거합니다.
  • CVE가 CVE와 관련된 정책 위반을 트리거하지 못하도록 합니다.
  • CVE가 자동으로 생성된 취약점 보고서에 표시되지 않도록 합니다.

14.2.5.1. 플랫폼 및 노드 CVE

인프라와 관련이 없는 플랫폼 및 노드 CVE를 스누핑할 수 있습니다. 영향을 받지 않을 때까지 CVE를 1일, 1주, 2주, 2주, 1개월, 무기한으로 제거할 수 있습니다. CVE는 즉시 적용되며 추가 승인 단계가 필요하지 않습니다.

참고

CVE를 스누핑하는 기능은 웹 포털 또는 API에서 기본적으로 활성화되어 있지 않습니다. CVE를 스누핑할 수 있도록 하려면 런타임 환경 변수 ROX_VULN_MGMT_LEGACY_SNOOZEtrue 로 설정합니다.

프로세스

  1. RHACS 포털에서 다음 작업을 수행합니다.

    • 플랫폼 CVE를 보려면 취약점 관리 플랫폼 CVE를 클릭합니다.
    • 노드 CVE를 보려면 취약점 관리 노드 CVE를 클릭합니다.
  2. 하나 이상의 CVE를 선택합니다.

  3. CVE를 스누핑할 적절한 방법을 선택합니다.

    • 단일 CVE를 선택한 경우 오버플로 메뉴인 kebab 를 클릭한 다음 Snooze CVE 를 선택합니다.
    • 여러 CVE를 선택한 경우 Bulk actions Snooze CVE를 클릭합니다.
  4. 간과할 시간을 선택합니다.

  5. Snooze CVE를 클릭합니다.

    CVE를 스누핑할 것을 요청했는지 확인 메시지가 표시됩니다.

14.2.5.2. Unsno Cryostating 플랫폼 및 노드 CVE

이전에 스케줄링한 플랫폼 및 노드 CVE를 해제할 수 있습니다.

참고

CVE를 스누핑하는 기능은 웹 포털 또는 API에서 기본적으로 활성화되어 있지 않습니다. CVE를 스누핑할 수 있도록 하려면 런타임 환경 변수 ROX_VULN_MGMT_LEGACY_SNOOZEtrue 로 설정합니다.

프로세스

  1. RHACS 포털에서 다음 작업을 수행합니다.

    • 플랫폼 CVE 목록을 보려면 취약점 관리 플랫폼 CVE를 클릭합니다.
    • 노드 CVE 목록을 보려면 취약점 관리 노드 CVE를 클릭합니다.
  2. sno Cryostated CVE 목록을 보려면 헤더 보기에서 Show sno Cryostated CVEs 를 클릭합니다.
  3. 조각된 CVE 목록에서 하나 이상의 CVE를 선택합니다.

  4. CVE를 분리할 적절한 방법을 선택합니다.

    • 단일 CVE를 선택한 경우 오버플로 메뉴 kebab 를 클릭한 다음 Unsnooze CVE 를 선택합니다.
    • 여러 CVE를 선택한 경우 Bulk actions Unsnooze CVE 를 클릭합니다.

  5. Unsnooze CVE 를 다시 클릭합니다.

    CVE를 분리할 것을 요청했음을 확인합니다.

14.2.5.3. Sno Cryostated CVE 보기

클러스터된 플랫폼 및 노드 CVE 목록을 볼 수 있습니다.

참고

CVE를 스누핑하는 기능은 웹 포털 또는 API에서 기본적으로 활성화되어 있지 않습니다. CVE를 스누핑할 수 있도록 하려면 런타임 환경 변수 ROX_VULN_MGMT_LEGACY_SNOOZEtrue 로 설정합니다.

프로세스

  1. RHACS 포털에서 다음 작업을 수행합니다.

    • 플랫폼 CVE 목록을 보려면 취약점 관리 플랫폼 CVE를 클릭합니다.
    • 노드 CVE 목록을 보려면 취약점 관리 노드 CVE를 클릭합니다.
  2. Show sno#159ed CVEs 를 클릭하여 목록을 확인합니다.

14.2.5.4. 취약점을 전 세계적으로 false positive로 표시

전역적으로 또는 모든 이미지에서 잘못된 긍정으로 표시하여 취약점에 대한 예외를 생성할 수 있습니다. 취약점을 예외 관리 워크플로우에서 잘못된 긍정 승인으로 표시하려면 요청을 받아야 합니다.

사전 요구 사항

  • VulnerabilityManagementRequests 리소스에 대한 쓰기 권한이 있습니다.

프로세스

  1. RHACS 포털에서 취약점 관리 워크로드 CVE를 클릭합니다.

  2. CVE를 표시하는 적절한 방법을 선택합니다.

    • 단일 CVE를 표시하려면 다음 단계를 수행합니다.

      1. 조치를 취할 CVE가 포함된 행을 찾습니다.
      2. 식별한 CVE의 오버플로 메뉴 kebab 를 클릭한 다음 Mark as false positive 를 선택합니다.

    • 여러 CVE를 표시하려면 다음 단계를 수행합니다.

      1. 각 CVE를 선택합니다.
      2. Bulk 작업 드롭다운 목록에서 Mark as false positives 를 선택합니다.
  3. 예외를 요청하기 위한 근거를 입력합니다.
  4. 선택 사항: 예외 요청에 포함된 CVE를 검토하려면 CVE 선택을 클릭합니다.

  5. 요청 제출을 클릭합니다.

    예외를 요청했다는 확인 메시지가 표시됩니다.

  6. 선택 사항: 승인 링크를 복사하여 조직의 예외 승인자와 공유하려면 복사 아이콘을 클릭합니다.
  7. 닫기를 클릭합니다.

14.2.5.5. 취약점을 이미지 또는 이미지 태그에 대한 잘못된 긍정으로 표시

취약점에 대한 예외를 만들려면 단일 이미지 또는 이미지와 연결된 모든 태그에 대해 잘못된 긍정으로 표시할 수 있습니다. 취약점을 예외 관리 워크플로우에서 잘못된 긍정 승인으로 표시하려면 요청을 받아야 합니다.

사전 요구 사항

  • VulnerabilityManagementRequests 리소스에 대한 쓰기 권한이 있습니다.

프로세스

  1. RHACS 포털에서 취약점 관리 워크로드 CVE를 클릭합니다.
  2. 이미지 목록을 보려면 < number&gt; 이미지를 클릭합니다.
  3. false positive로 표시할 이미지를 나열하고 이미지 이름을 클릭합니다.

  4. CVE를 표시하는 적절한 방법을 선택합니다.

    • 단일 CVE를 표시하려면 다음 단계를 수행합니다.

      1. 조치를 취할 CVE가 포함된 행을 찾습니다.
      2. 식별한 CVE의 오버플로 메뉴 kebab 를 클릭한 다음 Mark as false positive 를 선택합니다.

    • 여러 CVE를 표시하려면 다음 단계를 수행합니다.

      1. 각 CVE를 선택합니다.
      2. Bulk 작업 드롭다운 목록에서 Mark as false positives 를 선택합니다.
  5. 범위를 선택합니다. 이미지와 연결된 모든 태그 또는 이미지만 선택할 수 있습니다.
  6. 예외를 요청하기 위한 근거를 입력합니다.
  7. 선택 사항: 예외 요청에 포함된 CVE를 검토하려면 CVE 선택을 클릭합니다.

  8. 요청 제출을 클릭합니다.

    예외를 요청했다는 확인 메시지가 표시됩니다.

  9. 선택 사항: 승인 링크를 복사하여 조직의 예외 승인자와 공유하려면 복사 아이콘을 클릭합니다.
  10. 닫기를 클릭합니다.

14.2.5.6. 지연 및 잘못된 긍정적인 CVE 보기

워크로드 CVE 페이지를 사용하여 지연되거나 잘못된 것으로 표시된 CVE 를 볼 수 있습니다.

프로세스

  1. 승인자가 승인한 예외와 함께 지연되거나 잘못된 것으로 표시된 CVE를 보려면 취약점 관리 워크로드 CVE 를 클릭합니다. 다음 작업 중 하나를 완료합니다.

    • 지연된 CVE를 보려면 거부 탭을 클릭합니다.

    • false positives로 표시된 CVE를 보려면 False positives 탭을 클릭합니다.

      참고

      지연되거나 잘못된 영향을 미치는 CVE를 승인, 거부 또는 변경하려면 취약점 관리 예외 관리를 클릭합니다.

  2. 선택 사항: deferral 또는 false positive에 대한 추가 정보를 보려면 요청 세부 정보 열에서 보기를 클릭합니다. 예외 관리 페이지가 표시됩니다.

14.2.5.7. CVE 지연

완화 및 CVE 지연으로 위험을 감수할 수 있습니다. 예외 관리 워크플로우에서 지연된 요청이 승인되어야 합니다.

사전 요구 사항

  • VulnerabilityManagementRequests 리소스에 대한 쓰기 권한이 있습니다.

프로세스

  1. RHACS 포털에서 취약점 관리 워크로드 CVE를 클릭합니다.

  2. CVE를 지연할 적절한 방법을 선택합니다.

    • 단일 CVE를 지연하려면 다음 단계를 수행합니다.

      1. false positive로 표시할 CVE가 포함된 행을 찾습니다.
      2. 식별한 CVE의 오버플로 메뉴 kebab 를 클릭한 다음 Defer CVE 를 클릭합니다.

    • 여러 CVE를 지연하려면 다음 단계를 수행합니다.

      1. 각 CVE를 선택합니다.
      2. Bulk actions Defer CVE를 클릭합니다.
  3. deferral의 기간을 선택합니다.
  4. 예외를 요청하기 위한 근거를 입력합니다.
  5. 선택 사항: 예외 메뉴에 포함된 CVE를 검토하려면 CVE 선택을 클릭합니다.

  6. 요청 제출을 클릭합니다.

    잘못 요청하신 것으로 확인 메시지가 표시됩니다.

  7. 선택 사항: 승인 링크를 조직의 예외 승인자와 공유하려면 복사 아이콘을 클릭합니다.
  8. 닫기를 클릭합니다.
14.2.5.7.1. 취약점 예외 만료 기간 구성

취약점 관리 예외에 사용할 수 있는 기간을 구성할 수 있습니다. 이러한 옵션은 사용자가 CVE 지연을 요청할 때 사용할 수 있습니다.

사전 요구 사항

  • VulnerabilityManagementRequests 리소스에 대한 쓰기 권한이 있습니다.

프로세스

  1. RHACS 포털에서 플랫폼 구성 예외 구성으로 이동합니다.
  2. 사용자가 CVE 지연을 요청할 때 선택할 수 있는 만료 시간을 구성할 수 있습니다. 기간을 활성화하면 사용자가 사용할 수 있고 비활성화하면 사용자 인터페이스에서 제거할 수 있습니다.

14.2.5.8. CVE를 지연하거나 잘못된 것으로 표시하는 예외 요청 검토 및 관리

CVE를 잘못된 것으로 표시하고 있다는 예외 요청을 검토, 업데이트, 승인 또는 거부할 수 있습니다.

사전 요구 사항

  • VulnerabilityManagementRequests 리소스에 대한 쓰기 권한이 있습니다.

프로세스

  1. 보류 중인 요청 목록을 보려면 다음 작업 중 하나를 수행합니다.

    • 승인 링크를 브라우저에 붙여넣습니다.
    • Vulnerability Management Exception Management 를 클릭한 다음 Pending requests 탭에서 요청 이름을 클릭합니다.
  2. 취약점의 범위를 검토하고 이를 승인할지 여부를 결정합니다.

  3. 보류 중인 요청을 관리하려면 적절한 옵션을 선택합니다.

    • 요청을 거부하고 CVE를 observed 상태로 되돌리려면 거부 요청을 클릭합니다.

      거부 에 대한 합리를 입력하고 거부를 클릭합니다.

    • 요청을 승인하려면 승인 요청을 클릭합니다.

      승인 근거를 입력하고 승인을 클릭합니다.

  4. 생성한 요청을 취소하고 CVE를 observed 상태로 되돌리려면 취소 요청을 클릭합니다. 생성한 요청만 취소할 수 있습니다.

  5. 생성한 요청의 deferral time period 또는 rationale를 업데이트하려면 Update request 를 클릭합니다. 생성한 요청만 업데이트할 수 있습니다.

    변경 후 요청 제출 을 클릭합니다.

    요청을 제출했음을 확인합니다.

14.2.6. CVE를 사용한 구성 요소를 도입한 이미지에서 Dockerfile 행 식별

CVE를 사용하여 구성 요소를 도입한 이미지에서 특정 Dockerfile 행을 식별할 수 있습니다.

프로세스

문제가 있는 행을 보려면 다음을 수행합니다.

  1. RHACS 포털에서 취약점 관리 워크로드 CVE를 클릭합니다.

  2. 탭을 클릭하여 CVE 유형을 확인합니다. 다음 탭을 사용할 수 있습니다.

    • 모니터링됨
    • 지연됨
    • False positives
  3. CVE 목록에서 CVE 이름을 클릭하여 CVE 세부 정보가 포함된 페이지를 엽니다. 영향을 받는 구성 요소 열에는 CVE가 포함된 구성 요소가 나열됩니다.
  4. CVE를 확장하여 구성 요소를 도입한 Dockerfile 행을 포함하여 추가 정보를 표시합니다.

14.2.7. 새 구성 요소 버전 찾기

다음 절차에서는 업그레이드할 새 구성 요소 버전을 찾습니다.

프로세스

  1. RHACS 포털에서 취약점 관리 워크로드 CVE를 클릭합니다.
  2. & lt;number&gt; 이미지를 클릭하고 이미지를 선택합니다.

  3. 추가 정보를 보려면 CVE를 찾아 확장 아이콘을 클릭합니다.

    추가 정보에는 CVE가 있는 구성 요소 및 수정 가능한 경우 CVE가 수정된 버전이 포함됩니다.

  4. 이미지를 최신 버전으로 업데이트합니다.

14.2.8. API를 사용하여 워크로드 취약점 내보내기

API를 사용하여 Red Hat Advanced Cluster Security for Kubernetes에서 워크로드 취약점을 내보낼 수 있습니다.

이러한 예제의 경우 워크로드는 배포 및 관련 이미지로 구성됩니다. 내보내기는 /v1/export/vuln-mgmt/workloads 스트리밍 API를 사용합니다. 배포 및 이미지를 결합하여 내보낼 수 있습니다. 이미지 페이로드에는 전체 취약점 정보가 포함되어 있습니다. 출력은 스트리밍되며 다음 스키마가 있습니다. 

{"result": {"deployment": {...}, "images": [...]}}
...
{"result": {"deployment": {...}, "images": [...]}}

다음 예제에서는 이러한 환경 변수가 설정되어 있다고 가정합니다.

  • ROX_API_TOKEN: 배포이미지 리소스에 대한 보기 권한이 있는 API 토큰
  • ROX_ENDPOINT: 중부 API를 사용할 수 있는 끝점

  • 모든 워크로드를 내보내려면 다음 명령을 입력합니다. 

    $ curl -H "Authorization: Bearer $ROX_API_TOKEN" $ROX_ENDPOINT/v1/export/vuln-mgmt/workloads

  • 쿼리 제한 시간이 60초인 모든 워크로드를 내보내려면 다음 명령을 입력합니다. 

    $ curl -H "Authorization: Bearer $ROX_API_TOKEN" $ROX_ENDPOINT/v1/export/vuln-mgmt/workloads?timeout=60

  • 쿼리 Deployment:app Namespace:default 와 일치하는 모든 워크로드를 내보내려면 다음 명령을 입력합니다. 

    $ curl -H "Authorization: Bearer $ROX_API_TOKEN" $ROX_ENDPOINT/v1/export/vuln-mgmt/workloads?query=Deployment%3Aapp%2BNamespace%3Adefault

추가 리소스

14.2.8.1. 비활성 이미지 스캔

RHACS(Red Hat Advanced Cluster Security for Kubernetes)는 4시간마다 모든 활성(배포) 이미지를 검사하고 최신 취약점 정의를 반영하도록 이미지 검사 결과를 업데이트합니다.

RHACS를 구성하여 비활성 (배포되지 않음) 이미지를 자동으로 스캔할 수도 있습니다.

프로세스

  1. RHACS 포털에서 취약점 관리 워크로드 CVE를 클릭합니다.
  2. 감시된 이미지 관리를 클릭합니다.
  3. 이미지 이름 필드에 레지스트리로 시작하고 이미지 태그(예: docker.io/nginx:latest )로 끝나는 정규화된 이미지 이름을 입력합니다.
  4. 이미지 추가를 클릭하여 목록을 조사합니다.

  5. 선택 사항: 감시된 이미지를 제거하려면 감시된 이미지 관리 창에서 이미지를 찾고 감시 제거를 클릭합니다.

    중요

    RHACS 포털에서 플랫폼 구성 시스템 구성 을 클릭하여 데이터 보존 구성을 확인합니다.

    감시된 이미지 목록에서 제거된 이미지와 관련된 모든 데이터는 시스템 구성 페이지에서 언급된 일수의 기간 동안 RHACS 포털에 계속 표시되고 해당 기간이 종료된 후에만 제거됩니다.

  6. 닫기 를 클릭하여 워크로드 CVE 페이지로 돌아갑니다.
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.