15.2. 취약점 보기 및 해결

15.2.1. RHACS 포털에서 취약점 관리 데이터 보기

릴리스 4.7부터 RHACS는 취약점에 대한 데이터를 재구성하여 사용자 워크로드 및 노드의 취약점 및 플랫폼 취약점과 같은 범주별로 취약점 데이터를 검색하고 분리했습니다.

취약점 관리 메뉴에서 결과 페이지에서는 취약점 데이터를 제공합니다. 페이지 상단에 있는 탭을 클릭하여 취약점 데이터를 카테고리별로 볼 수 있습니다. 탭에는 다음 범주가 포함됩니다.

사용자 워크로드

이 탭에서는 배포한 시스템의 워크로드 및 이미지에 영향을 미치는 취약점에 대한 정보를 제공합니다. 이러한 워크로드는 사용자가 배포하고 관리하기 때문에 사용자 워크로드 라고 합니다.

플랫폼

이 탭에서는 RHACS가 플랫폼과 관련된 취약점(예: OpenShift 플랫폼 및 계층화된 서비스가 배포하는 워크로드 및 이미지의 취약점)에 대한 정보를 제공합니다. RHACS는 정규식 패턴을 사용하여 워크로드의 네임스페이스를 검사하고 플랫폼 구성 요소에 속하는 워크로드를 식별합니다. 예를 들어 현재 RHACS는 다음 네임스페이스의 취약점을 플랫폼에 속하는 것으로 식별합니다.

OpenShift Container Platform: 네임스페이스는 openshift- 또는 kube-로 시작합니다.
계층화된 제품:
- 네임스페이스는 rhacs-operator로 시작
- 네임스페이스는 open-cluster-management로 시작
- namespace는 stackrox,multicluster-engine,aap 또는 hive입니다.
타사 파트너: 네임스페이스는 nvidia-gpu-operator

노드

이 탭에서는 사용자 관리 및 플랫폼 워크로드 및 이미지를 포함하여 노드의 취약점 보기를 제공합니다.

더 많은 보기

이 메뉴에서는 다음 보기를 포함하여 취약점 정보를 볼 수 있는 추가 방법에 액세스할 수 있습니다.

취약한 모든 이미지
비활성 이미지
CVE가 없는 이미지
Kubernetes 구성 요소

15.2.2. 사용자 워크로드 취약점 보기

취약점 관리 결과 페이지에서 시스템의 클러스터에서 실행되는 애플리케이션의 취약점에 대한 정보를 얻을 수 있습니다. 이 정보를 사용하면 이미지 및 배포에서 취약점의 우선 순위를 지정하고 관리할 수 있습니다.

사용자 워크로드 취약점 페이지에서 취약점 을 사용하여 이미지 및 배포를 보고 이미지, 배포, 네임스페이스, 클러스터, CVE, 구성 요소 소스로 필터링할 수 있습니다.

프로세스

RHACS 포털에서 취약점 관리 결과 로 이동합니다.
사용자 워크로드 탭을 선택합니다. 기본적으로 Observed 탭이 선택됩니다.
선택 사항: 관찰된 취약점 또는 잘못된 긍정으로 표시된 취약점을 확인하도록 선택할 수 있습니다. 다음 탭 중 하나를 클릭합니다.
- observed: RHACS가 사용자 워크로드에서 관찰한 취약점을 나열합니다.
- 지연됨: 관찰되었지만 예외 관리 워크플로우에서 제출 및 승인 요청이 지연된 취약점을 나열합니다.
- false positives: 관찰되었지만 예외 관리 워크플로우에서 false positives로 식별된 취약점을 나열합니다.
선택 사항: 다음 옵션을 선택하여 결과 목록을 구체화할 수 있습니다.
- 네임스페이스 보기별 우선순위: 위험 우선 순위에 따라 정렬된 네임스페이스 목록을 표시합니다. 이 보기를 사용하여 가장 중요한 영역을 신속하게 식별하고 해결할 수 있습니다. 이 보기에서 테이블 행에서 < number> 배포를 클릭하여 선택한 네임스페이스에 대한 배포만 표시하도록 필터를 적용하여 취약점 결과 보기로 돌아갑니다.
- 기본 필터: 이 페이지의 모든 보기에 자동으로 적용되는 CVE 심각도 및 CVE 상태에 대한 필터를 선택할 수 있습니다. 이러한 필터는 RHACS 웹 포털의 다른 섹션 또는 북마크 URL에서 페이지를 방문할 때 적용됩니다. 브라우저의 로컬 스토리지에 저장됩니다.

예를 들어 엔터티별 결과 목록을 필터링하려면 이름이 지정된 특정 CVE를 검색하려면 적절한 필터와 특성을 선택합니다.

여러 엔터티 및 특성을 선택하려면 오른쪽 화살표 아이콘을 클릭하여 다른 기준을 추가합니다. 선택 사항에 따라 텍스트와 같은 적절한 정보를 입력하거나 날짜 또는 개체를 선택합니다.

필터 엔터티 및 속성은 다음 표에 나열되어 있습니다.

참고

필터링된 뷰 아이콘은 선택한 기준에 따라 표시된 결과가 필터링 되었음을 나타냅니다. 필터 지우기 를 클릭하여 모든 필터를 제거하거나 개별 필터를 클릭하여 제거할 수 있습니다.

표 15.1. 필터 옵션
엔터티	속성
이미지	name: 이미지의 이름입니다. 운영 체제: 이미지의 운영 체제입니다. tag : 이미지의 태그입니다. label : 이미지의 레이블입니다. registry: 이미지가 있는 레지스트리입니다.
CVE	name: CVE의 이름입니다. 검색된 시간: RHACS가 CVE를 발견한 날짜입니다. CVSS: CVE의 심각도 수준입니다. 다음 값은 CVE의 심각도 수준과 관련이 있습니다. 보다 크거나 크거나 같음 이 값과 같습니다 작거나 같음 보다 작음 CryostatS 확률: EPSS (Exploit Prediction Scoring System) 에 따라 취약점이 악용될 가능성이 있습니다. 이 data는 향후 30일 내에 이 취약점의 악용이 관찰될 가능성에 대한 백분율을 제공합니다. CryostatS는 파트너로부터 관찰된 악용 활동에 대한 데이터를 수집하고 악용 활동이 시도된 악용이 성공했음을 의미하지는 않습니다. CVE의 나이와 같은 다른 정보와 함께 단일 데이터 포인트로 사용하여 취약점을 해결하기 위한 우선 순위를 정하는 데 도움이 됩니다. 자세한 내용은 RHACS 및 CryostatS를 참조하십시오.
이미지 구성 요소	name : 이미지 구성 요소의 이름 (예: `activerecord-sql-server-adapter`) 소스: OS Python Java Ruby Node.js Go dotnet Core Runtime 인프라 버전: 이미지 구성 요소의 버전 (예: `3.4.21` ). 이를 사용하여 구성 요소 이름과 함께 특정 버전의 구성 요소(예:)를 검색할 수 있습니다.
Deployment	name: 배포 이름입니다. label: 배포의 레이블입니다. annotation: 배포에 대한 주석입니다. status: 배포가 비활성화 또는 활성 상태인지 여부입니다.
네임스페이스	ID: Kubernetes에서 생성한 네임스페이스의 `metadata.uid` 입니다. name: 네임스페이스의 이름입니다. label : 네임스페이스의 레이블입니다. annotation: 네임스페이스의 주석입니다.
Cluster	id: 클러스터의 영숫자 ID입니다. RHACS에서 추적을 위해 할당하는 내부 식별자입니다. name: 클러스터의 이름입니다. label : 클러스터의 레이블입니다. type : 클러스터 유형 (예: OCP)입니다. 플랫폼 유형: 플랫폼 유형 (예: OpenShift 4 클러스터)

CVE 심각도: 하나 이상의 수준을 선택할 수 있습니다.
CVE 상태: 수정 가능 또는 수정할 수 없음을 선택할 수 있습니다.

다음 탭 중 하나를 클릭하여 원하는 데이터를 확인합니다.
- <number> CVE: CVE로 구성된 취약점 표시
- <number> 이미지: 발견된 취약점이 포함된 이미지를 표시합니다.
- <number> Deployments: 검색된 취약점이 포함된 배포를 표시합니다.
선택 사항: 사용자 워크로드 탭에서 정보를 재구성하는 적절한 방법을 선택합니다.
- 테이블을 오름차순 또는 내림차순으로 정렬하려면 열 제목을 선택합니다.
- 표에 표시할 카테고리를 선택하려면 다음 단계를 수행합니다.
  1. 열을 클릭합니다.
  2. 열을 관리할 적절한 방법을 선택합니다.
    모든 카테고리를 보려면 Select all 을 클릭합니다.
    기본 카테고리로 재설정하려면 기본값으로 재설정을 클릭합니다.
    선택한 카테고리만 보려면 볼 카테고리 중 하나 이상을 선택한 다음 저장을 클릭합니다.
결과 목록에서 CVE, 이미지 이름 또는 배포 이름을 클릭하여 항목에 대한 자세한 정보를 확인합니다. 예를 들어 항목 유형에 따라 다음 정보를 볼 수 있습니다.
- CVE를 수정할 수 있는지 여부
- 이미지가 활성화되어 있는지 여부
- CVE가 포함된 이미지의 Dockerfile 행
- Red Hat 및 기타 CVE 데이터베이스의 CVE에 대한 외부 링크

15.2.3. 플랫폼 취약점 보기

플랫폼 취약점 페이지는 RHACS가 플랫폼과 관련된 취약점 (예: OpenShift Platform 및 계층화된 서비스에서 사용하는 워크로드 및 이미지의 취약점)에 대한 정보를 제공합니다.

프로세스

RHACS 포털에서 취약점 관리 결과 로 이동합니다.
플랫폼 탭을 선택합니다. 기본적으로 Observed 탭이 선택됩니다.
선택 사항: 관찰된 취약점 또는 잘못된 긍정으로 표시된 취약점을 확인하도록 선택할 수 있습니다. 다음 탭 중 하나를 클릭합니다.
- observed: RHACS가 플랫폼 워크로드 및 이미지에서 관찰한 취약점을 나열합니다.
- 지연됨: 관찰되었지만 예외 관리 워크플로우에서 제출 및 승인 요청이 지연된 취약점을 나열합니다.
- false positives: 관찰되었지만 예외 관리 워크플로우에서 false positives로 식별된 취약점을 나열합니다.
선택 사항: 다음 옵션을 선택하여 결과 목록을 구체화할 수 있습니다.
- 네임스페이스 보기별 우선순위: 위험 우선 순위에 따라 정렬된 네임스페이스 목록을 표시합니다. 이 보기를 사용하여 가장 중요한 영역을 신속하게 식별하고 해결할 수 있습니다. 이 보기에서 테이블 행에서 < number> 배포를 클릭하여 선택한 네임스페이스에 대한 배포만 표시하도록 필터가 적용되고 플랫폼 취약점 보기로 돌아갑니다.
- 기본 필터: 이 페이지의 모든 보기에 자동으로 적용되는 CVE 심각도 및 CVE 상태에 대한 필터를 선택할 수 있습니다. 이러한 필터는 RHACS 웹 포털의 다른 섹션 또는 북마크 URL에서 페이지를 방문할 때 적용됩니다. 브라우저의 로컬 스토리지에 저장됩니다.

예를 들어 엔터티별 결과 목록을 필터링하려면 이름이 지정된 특정 CVE를 검색하려면 적절한 필터와 특성을 선택합니다.

여러 엔터티 및 특성을 선택하려면 오른쪽 화살표 아이콘을 클릭하여 다른 기준을 추가합니다. 선택 사항에 따라 텍스트와 같은 적절한 정보를 입력하거나 날짜 또는 개체를 선택합니다.

필터 엔터티 및 속성은 다음 표에 나열되어 있습니다.

참고

필터링된 뷰 아이콘은 선택한 기준에 따라 표시된 결과가 필터링 되었음을 나타냅니다. 필터 지우기 를 클릭하여 모든 필터를 제거하거나 개별 필터를 클릭하여 제거할 수 있습니다.

표 15.2. 필터 옵션
엔터티	속성
이미지	name: 이미지의 이름입니다. 운영 체제: 이미지의 운영 체제입니다. tag : 이미지의 태그입니다. label : 이미지의 레이블입니다. registry: 이미지가 있는 레지스트리입니다.
CVE	name: CVE의 이름입니다. 검색된 시간: RHACS가 CVE를 발견한 날짜입니다. CVSS: CVE의 심각도 수준입니다. 다음 값은 CVE의 심각도 수준과 관련이 있습니다. 보다 크거나 크거나 같음 이 값과 같습니다 작거나 같음 보다 작음 CryostatS 확률: EPSS (Exploit Prediction Scoring System) 에 따라 취약점이 악용될 가능성이 있습니다. 이 data는 향후 30일 내에 이 취약점의 악용이 관찰될 가능성에 대한 백분율을 제공합니다. CryostatS는 파트너로부터 관찰된 악용 활동에 대한 데이터를 수집하고 악용 활동이 시도된 악용이 성공했음을 의미하지는 않습니다. CVE의 나이와 같은 다른 정보와 함께 단일 데이터 포인트로 사용하여 취약점을 해결하기 위한 우선 순위를 정하는 데 도움이 됩니다. 자세한 내용은 RHACS 및 CryostatS를 참조하십시오.
이미지 구성 요소	name : 이미지 구성 요소의 이름 (예: `activerecord-sql-server-adapter`) 소스: OS Python Java Ruby Node.js Go dotnet Core Runtime 인프라 버전: 이미지 구성 요소의 버전 (예: `3.4.21` ). 이를 사용하여 구성 요소 이름과 함께 특정 버전의 구성 요소(예:)를 검색할 수 있습니다.
Deployment	name: 배포 이름입니다. label: 배포의 레이블입니다. annotation: 배포에 대한 주석입니다. status: 배포가 비활성화 또는 활성 상태인지 여부입니다.
네임스페이스	ID: Kubernetes에서 생성한 네임스페이스의 `metadata.uid` 입니다. name: 네임스페이스의 이름입니다. label : 네임스페이스의 레이블입니다. annotation: 네임스페이스의 주석입니다.
Cluster	id: 클러스터의 영숫자 ID입니다. RHACS에서 추적을 위해 할당하는 내부 식별자입니다. name: 클러스터의 이름입니다. label : 클러스터의 레이블입니다. type : 클러스터 유형 (예: OCP)입니다. 플랫폼 유형: 플랫폼 유형 (예: OpenShift 4 클러스터)

CVE 심각도: 하나 이상의 수준을 선택할 수 있습니다.
CVE 상태: 수정 가능 또는 수정할 수 없음을 선택할 수 있습니다.

다음 탭 중 하나를 클릭하여 원하는 데이터를 확인합니다.
- <number> CVE: CVE로 구성된 취약점 표시
- <number> 이미지: 발견된 취약점이 포함된 이미지를 표시합니다.
- <number> Deployments: 검색된 취약점이 포함된 배포를 표시합니다.
선택 사항: 사용자 워크로드 탭에서 정보를 재구성하는 적절한 방법을 선택합니다.
- 테이블을 오름차순 또는 내림차순으로 정렬하려면 열 제목을 선택합니다.
- 표에 표시할 카테고리를 선택하려면 다음 단계를 수행합니다.
  1. 열을 클릭합니다.
  2. 열을 관리할 적절한 방법을 선택합니다.
    모든 카테고리를 보려면 Select all 을 클릭합니다.
    기본 카테고리로 재설정하려면 기본값으로 재설정을 클릭합니다.
    선택한 카테고리만 보려면 볼 카테고리 중 하나 이상을 선택한 다음 저장을 클릭합니다.
결과 목록에서 CVE, 이미지 이름 또는 배포 이름을 클릭하여 항목에 대한 자세한 정보를 확인합니다. 예를 들어 항목 유형에 따라 다음 정보를 볼 수 있습니다.
- CVE를 수정할 수 있는지 여부
- 이미지가 활성화되어 있는지 여부
- CVE가 포함된 이미지의 Dockerfile 행
- Red Hat 및 기타 CVE 데이터베이스의 CVE에 대한 외부 링크

15.2.4. 노드의 취약점 보기

RHACS를 사용하여 노드의 취약점을 식별할 수 있습니다. 확인된 취약점은 다음과 같습니다.

핵심 Kubernetes 구성 요소의 취약점
Docker, CRI-O, runC 및 containerd와 같은 컨테이너 런타임의 취약점

RHACS에서 검사할 수 있는 운영 체제에 대한 자세한 내용은 "지원되는 운영 체제"를 참조하십시오.

RHACS는 현재 StackRox 스캐너 및 스캐너 V4로 노드 스캔 기능을 지원합니다. 구성된 스캐너에 따라 취약점 목록에 다른 결과가 표시될 수 있습니다. 자세한 내용은 " StackRox 스캐너 및 스캐너 V4 간의 스캔 결과에 대한 이해"를 참조하십시오.

프로세스

RHACS 포털에서 취약점 관리 결과 로 이동합니다.
노드 탭을 선택합니다.
선택 사항: 페이지가 기본적으로 관찰된 CVE 목록으로 설정됩니다. Show sno#159ed CVE를 클릭하여 확인합니다.

선택 사항: 엔터티에 따라 CVE를 필터링하려면 적절한 필터 및 속성을 선택합니다. 필터링 기준을 추가하려면 다음 단계를 따르십시오.

목록에서 엔터티 또는 특성을 선택합니다.
선택 사항에 따라 텍스트와 같은 적절한 정보를 입력하거나 날짜 또는 개체를 선택합니다.
오른쪽 화살표 아이콘을 클릭합니다.

선택 사항: 추가 엔터티 및 특성을 선택한 다음 오른쪽 화살표 아이콘을 클릭하여 추가합니다. 필터 엔터티 및 속성은 다음 표에 나열되어 있습니다.

표 15.3. 필터 옵션
엔터티	속성
노드	name: 노드의 이름입니다. 운영 체제: 노드의 운영 체제(예: RHEL(Red Hat Enterprise Linux))입니다. label: 노드의 레이블입니다. annotation: 노드의 주석입니다. 검사 시간: 노드의 검사 날짜입니다.
CVE	name: CVE의 이름입니다. 검색된 시간: RHACS가 CVE를 발견한 날짜입니다. CVSS: CVE의 심각도 수준입니다. 다음 값은 CVE의 심각도 수준과 관련이 있습니다. 보다 크거나 크거나 같음 이 값과 같습니다 작거나 같음 보다 작음
노드 구성 요소	name: 구성 요소의 이름입니다. Version: 구성 요소의 버전입니다(예: `4.15.0-2024` ). 이를 사용하여 구성 요소 이름과 함께 특정 버전의 구성 요소(예:)를 검색할 수 있습니다.
Cluster	id: 클러스터의 영숫자 ID입니다. RHACS에서 추적을 위해 할당하는 내부 식별자입니다. name: 클러스터의 이름입니다. label : 클러스터의 레이블입니다. type: 클러스터 유형입니다(예: OCP). 플랫폼 유형: 플랫폼의 유형입니다(예: OpenShift 4 클러스터).

선택 사항: 결과 목록을 구체화하려면 다음 작업 중 하나를 수행합니다.
- CVE 심각도 를 클릭한 다음 하나 이상의 수준을 선택합니다.
- CVE 상태를 클릭한 다음 Fixable 또는 Not fixable 을 선택합니다.
데이터를 보려면 다음 탭 중 하나를 클릭합니다.
- <number> CVE: 모든 노드에 영향을 미치는 모든 CVE 목록을 표시합니다.
- <number> 노드: CVE가 포함된 노드 목록을 표시합니다.
노드의 세부 정보와 CVSS 점수 및 수정 가능한 CVE에 대한 정보를 보려면 노드 목록에서 노드 이름을 클릭합니다.

15.2.4.1. 노드의 취약점 식별 비활성화

노드의 취약점 식별은 기본적으로 활성화되어 있습니다. RHACS 포털에서 비활성화할 수 있습니다.

프로세스

RHACS 포털에서 플랫폼 구성 통합으로 이동합니다.
이미지 통합 에서 StackRox 스캐너 를 선택합니다.
스캐너 목록에서 StackRox 스캐너 를 선택하여 세부 정보를 확인합니다.
편집을 클릭합니다.
노드 스캐너가 아닌 이미지 스캐너만 사용하려면 이미지 스캐너 를 클릭합니다.
저장을 클릭합니다.

추가 리소스

15.2.5. 취약점 관리에서 추가 보기 액세스

추가 보기 탭에서는 다음 보기를 포함하여 시스템의 취약점을 볼 수 있는 추가 방법을 제공합니다.

취약한 모든 이미지: 사용자 워크로드, 플랫폼 취약점 및 동일한 페이지에 있는 비활성 이미지의 취약점을 표시합니다.
비활성 이미지: 현재 워크로드로 배포되지 않은 감시된 이미지 및 이미지의 취약점을 표시합니다. 이미지 보존 설정에 따라 이미지에 대한 취약점이 보고됩니다.
CVE가 없는 이미지: 모니터링된 CVE 없이 이미지 및 워크로드를 표시합니다. "Analyze images and deployments without observed CVEs"를 참조하십시오.
Kubernetes 구성 요소: 기본 Kubernetes 구조에 영향을 미치는 취약점을 표시합니다.

15.2.5.1. 취약한 모든 이미지 보기

사용자 워크로드, 플랫폼 취약점 및 비활성 이미지의 취약점 목록을 동일한 페이지에서 볼 수 있습니다.

프로세스

RHACS 포털에서 취약점 관리 결과 로 이동합니다.
더 많은 보기를 클릭하고 모든 취약한 이미지를 선택합니다.
선택 사항: 관찰된 취약점 또는 잘못된 긍정으로 표시된 취약점을 확인하도록 선택할 수 있습니다. 다음 탭 중 하나를 클릭합니다.
- observed: RHACS가 모든 이미지 및 워크로드에서 관찰하는 취약점을 나열합니다.
- 지연됨: 관찰되었지만 예외 관리 워크플로우에서 제출 및 승인 요청이 지연된 취약점을 나열합니다.
- false positives: 관찰되었지만 예외 관리 워크플로우에서 false positives로 식별된 취약점을 나열합니다.
선택 사항: 다음 옵션을 선택하여 결과 목록을 구체화할 수 있습니다.
- 네임스페이스 보기별 우선순위: 위험 우선 순위에 따라 정렬된 네임스페이스 목록을 표시합니다. 이 보기를 사용하여 가장 중요한 영역을 신속하게 식별하고 해결할 수 있습니다. 이 보기에서 테이블 행에서 < number> 배포를 클릭하여 선택한 네임스페이스에 대한 배포만 표시하도록 필터가 적용된 모든 취약한 이미지 뷰로 돌아갑니다.
- 기본 필터: 이 페이지의 모든 보기에 자동으로 적용되는 CVE 심각도 및 CVE 상태에 대한 필터를 선택할 수 있습니다. 이러한 필터는 RHACS 웹 포털의 다른 섹션 또는 북마크 URL에서 페이지를 방문할 때 적용됩니다. 브라우저의 로컬 스토리지에 저장됩니다.
다음 탭 중 하나를 클릭하여 원하는 데이터를 확인합니다.
- <number> CVE: CVE로 구성된 취약점 표시
- <number> 이미지: 발견된 취약점이 포함된 이미지를 표시합니다.
- <number> Deployments: 검색된 취약점이 포함된 배포를 표시합니다.
선택 사항: 사용자 워크로드 탭에서 정보를 재구성하는 적절한 방법을 선택합니다.
- 테이블을 오름차순 또는 내림차순으로 정렬하려면 열 제목을 선택합니다.
- 테이블을 필터링하려면 필터 표시줄을 사용합니다.
- 표에 표시할 카테고리를 선택하려면 다음 단계를 수행합니다.
  1. 열을 클릭합니다.
  2. 열을 관리할 적절한 방법을 선택합니다.
    모든 카테고리를 보려면 Select all 을 클릭합니다.
    기본 카테고리로 재설정하려면 기본값으로 재설정을 클릭합니다.
    선택한 카테고리만 보려면 볼 카테고리 중 하나 이상을 선택한 다음 저장을 클릭합니다.

예를 들어 엔터티별 결과 목록을 필터링하려면 이름이 지정된 특정 CVE를 검색하려면 적절한 필터와 특성을 선택합니다.

여러 엔터티 및 특성을 선택하려면 오른쪽 화살표 아이콘을 클릭하여 다른 기준을 추가합니다. 선택 사항에 따라 텍스트와 같은 적절한 정보를 입력하거나 날짜 또는 개체를 선택합니다.

필터 엔터티 및 속성은 다음 표에 나열되어 있습니다.

표 15.4. CVE 필터링
엔터티	속성
이미지	name: 이미지의 이름입니다. 운영 체제: 이미지의 운영 체제입니다. tag : 이미지의 태그입니다. label : 이미지의 레이블입니다. registry: 이미지가 있는 레지스트리입니다.
CVE	name: CVE의 이름입니다. 검색된 시간: RHACS가 CVE를 발견한 날짜입니다. CVSS: CVE의 심각도 수준입니다. 다음 값은 CVE의 심각도 수준과 관련이 있습니다. 보다 크거나 크거나 같음 이 값과 같습니다 작거나 같음 보다 작음 CryostatS 확률: EPSS (Exploit Prediction Scoring System) 에 따라 취약점이 악용될 가능성이 있습니다. 이 data는 향후 30일 내에 이 취약점의 악용이 관찰될 가능성에 대한 백분율을 제공합니다. CryostatS는 파트너로부터 관찰된 악용 활동에 대한 데이터를 수집하고 악용 활동이 시도된 악용이 성공했음을 의미하지는 않습니다. CVE의 나이와 같은 다른 정보와 함께 단일 데이터 포인트로 사용하여 취약점을 해결하기 위한 우선 순위를 정하는 데 도움이 됩니다. 자세한 내용은 RHACS 및 CryostatS를 참조하십시오.
이미지 구성 요소	name : 이미지 구성 요소의 이름 (예: `activerecord-sql-server-adapter`) 소스: OS Python Java Ruby Node.js Go dotnet Core Runtime 인프라 버전: 이미지 구성 요소의 버전 (예: `3.4.21` ). 이를 사용하여 구성 요소 이름과 함께 특정 버전의 구성 요소(예:)를 검색할 수 있습니다.
Deployment	name: 배포 이름입니다. label: 배포의 레이블입니다. annotation: 배포에 대한 주석입니다. status: 배포가 비활성화 또는 활성 상태인지 여부입니다.
네임스페이스	ID: Kubernetes에서 생성한 네임스페이스의 `metadata.uid` 입니다. name: 네임스페이스의 이름입니다. label : 네임스페이스의 레이블입니다. annotation: 네임스페이스의 주석입니다.
Cluster	id: 클러스터의 영숫자 ID입니다. RHACS에서 추적을 위해 할당하는 내부 식별자입니다. name: 클러스터의 이름입니다. label : 클러스터의 레이블입니다. type : 클러스터 유형 (예: OCP)입니다. 플랫폼 유형: 플랫폼 유형 (예: OpenShift 4 클러스터)

CVE 심각도: 하나 이상의 수준을 선택할 수 있습니다.
CVE 상태: 수정 가능 또는 수정할 수 없음을 선택할 수 있습니다.

참고

필터링된 뷰 아이콘은 선택한 기준에 따라 표시된 결과가 필터링 되었음을 나타냅니다. 필터 지우기 를 클릭하여 모든 필터를 제거하거나 개별 필터를 클릭하여 제거할 수 있습니다.

결과 목록에서 CVE, 이미지 이름 또는 배포 이름을 클릭하여 항목에 대한 자세한 정보를 확인합니다. 예를 들어 항목 유형에 따라 다음 정보를 볼 수 있습니다.

CVE를 수정할 수 있는지 여부
이미지가 활성화되어 있는지 여부
CVE가 포함된 이미지의 Dockerfile 행
Red Hat 및 기타 CVE 데이터베이스의 CVE에 대한 외부 링크

15.2.5.2. 비활성 이미지 스캔

RHACS(Red Hat Advanced Cluster Security for Kubernetes)는 4시간마다 모든 활성(배포) 이미지를 검사하고 최신 취약점 정의를 반영하도록 이미지 검사 결과를 업데이트합니다.

RHACS를 구성하여 비활성 (배포되지 않음) 이미지를 자동으로 스캔할 수도 있습니다.

프로세스

RHACS 포털에서 취약점 관리 결과를 클릭합니다.
추가 보기 비활성 이미지를 클릭합니다.
감시된 이미지 관리를 클릭합니다.
이미지 이름 필드에 레지스트리로 시작하고 이미지 태그(예: docker.io/nginx:latest )로 끝나는 정규화된 이미지 이름을 입력합니다.
이미지 추가를 클릭하여 목록을 조사합니다.
선택 사항: 감시된 이미지를 제거하려면 감시된 이미지 관리 창에서 이미지를 찾고 감시 제거를 클릭합니다.
중요
RHACS 포털에서 플랫폼 구성 시스템 구성 을 클릭하여 데이터 보존 구성을 확인합니다.
감시된 이미지 목록에서 제거된 이미지와 관련된 모든 데이터는 시스템 구성 페이지에서 언급된 일수의 기간 동안 RHACS 포털에 계속 표시되고 해당 기간이 종료된 후에만 제거됩니다.
닫기 를 클릭하여 비활성 이미지 페이지로 돌아갑니다.

15.2.5.3. 관찰된 CVE 없이 이미지 및 배포 분석

취약점이 없는 이미지 목록을 볼 때 RHACS에는 다음 조건 중 하나 이상을 충족하는 이미지가 표시됩니다.

CVE가 없는 이미지
CVE가 없는 잘못된 정보가 발생할 수 있는 스캐너 오류를 보고하는 이미지

참고

실제로 취약점이 포함된 이미지는 실수로 이 목록에 표시될 수 있습니다. 예를 들어 스캐너에서 이미지를 스캔할 수 있고 RHACS(Red Hat Advanced Cluster Security for Kubernetes)로 알려져 있지만 검사가 성공적으로 완료되지 않은 경우 RHACS에서 취약점을 감지할 수 없습니다.

이 시나리오는 RHACS 스캐너에서 지원하지 않는 운영 체제가 이미지에 있는 경우 발생합니다. RHACS는 이미지 목록에서 이미지를 마우스로 가리키거나 이미지 이름을 클릭하면 검사 오류가 표시됩니다.

프로세스

RHACS 포털에서 취약점 관리 결과 로 이동합니다.
More Views 를 클릭하고 CVE가 없는 이미지를 선택합니다.

예를 들어 특정 이미지를 검색하려면 적절한 필터 및 특성을 선택하여 엔터티별 결과 목록을 필터링합니다.

여러 엔터티 및 특성을 선택하려면 오른쪽 화살표 아이콘을 클릭하여 다른 기준을 추가합니다. 선택 사항에 따라 텍스트와 같은 적절한 정보를 입력하거나 날짜 또는 개체를 선택합니다.

필터 엔터티 및 속성은 다음 표에 나열되어 있습니다.

참고

필터링된 뷰 아이콘은 선택한 기준에 따라 표시된 결과가 필터링 되었음을 나타냅니다. 필터 지우기 를 클릭하여 모든 필터를 제거하거나 개별 필터를 클릭하여 제거할 수 있습니다.

표 15.5. 필터 옵션
엔터티	속성
이미지	name: 이미지의 이름입니다. 운영 체제: 이미지의 운영 체제입니다. tag : 이미지의 태그입니다. label : 이미지의 레이블입니다. registry: 이미지가 있는 레지스트리입니다.
이미지 구성 요소	name : 이미지 구성 요소의 이름 (예: `activerecord-sql-server-adapter`) 소스: OS Python Java Ruby Node.js Go dotnet Core Runtime 인프라 버전: 이미지 구성 요소의 버전 (예: `3.4.21` ). 이를 사용하여 구성 요소 이름과 함께 특정 버전의 구성 요소(예:)를 검색할 수 있습니다.
Deployment	name: 배포 이름입니다. label: 배포의 레이블입니다. annotation: 배포에 대한 주석입니다. status: 배포가 비활성화 또는 활성 상태인지 여부입니다.
네임스페이스	ID: Kubernetes에서 생성한 네임스페이스의 `metadata.uid` 입니다. name: 네임스페이스의 이름입니다. label : 네임스페이스의 레이블입니다. annotation: 네임스페이스의 주석입니다.
Cluster	id: 클러스터의 영숫자 ID입니다. RHACS에서 추적을 위해 할당하는 내부 식별자입니다. name: 클러스터의 이름입니다. label : 클러스터의 레이블입니다. type : 클러스터 유형 (예: OCP)입니다. 플랫폼 유형: 플랫폼 유형 (예: OpenShift 4 클러스터)

다음 탭 중 하나를 클릭하여 원하는 데이터를 확인합니다.
- <number> 이미지: 발견된 취약점이 포함된 이미지를 표시합니다.
- <number> Deployments: 검색된 취약점이 포함된 배포를 표시합니다.
선택 사항: 페이지의 정보를 재구성하는 적절한 방법을 선택합니다.
- 표에 표시할 카테고리를 선택하려면 다음 단계를 수행합니다.
  1. 열을 클릭합니다.
  2. 열을 관리할 적절한 방법을 선택합니다.
    모든 카테고리를 보려면 Select all 을 클릭합니다.
    기본 카테고리로 재설정하려면 기본값으로 재설정을 클릭합니다.
    선택한 카테고리만 보려면 볼 카테고리 중 하나 이상을 선택한 다음 저장을 클릭합니다.
    테이블을 오름차순 또는 내림차순으로 정렬하려면 열 제목을 선택합니다.
결과 목록에서 이미지 이름 또는 배포 이름을 클릭하여 항목에 대한 자세한 정보를 확인합니다.

15.2.5.4. Kubernetes 취약점 보기

기본 Kubernetes 구조에 영향을 미치는 클러스터의 취약점을 볼 수 있습니다.

프로세스

취약점 관리 결과 로 이동합니다.
더 많은 보기를 클릭하고 Kubernetes 구성 요소를 선택합니다.
CVE 또는 클러스터에 의해 표시하려면 < number > CVE 또는 <number> 클러스터를 클릭합니다.

선택 사항: 결과 목록에서 클러스터 및 CVE로 결과를 필터링할 수 있습니다. 엔터티를 기반으로 취약점을 필터링하려면 적절한 필터 및 특성을 선택합니다.

여러 엔터티 및 특성을 선택하려면 오른쪽 화살표 아이콘을 클릭하여 다른 기준을 추가합니다. 선택 사항에 따라 텍스트와 같은 적절한 정보를 입력하거나 날짜 또는 개체를 선택합니다.

필터 엔터티 및 속성은 다음 표에 나열되어 있습니다.

표 15.6. 필터 옵션
엔터티	속성
Cluster	id: 클러스터의 영숫자 ID입니다. RHACS에서 추적을 위해 할당하는 내부 식별자입니다. name: 클러스터의 이름입니다. label : 클러스터의 레이블입니다. type : 클러스터 유형 (예: OCP)입니다. 플랫폼 유형: 플랫폼 유형 (예: OpenShift 4 클러스터)
CVE	name: CVE의 이름입니다. 검색된 시간: RHACS가 CVE를 발견한 날짜입니다. CVSS: CVE의 심각도 수준입니다. 다음 값은 CVE의 심각도 수준과 관련이 있습니다. 보다 크거나 크거나 같음 이 값과 같습니다 작거나 같음 보다 작음 Type: CVE의 유형입니다. Kubernetes Istio OpenShift

선택 사항: CVE 상태 드롭다운 목록에서 CVE 상태를 기반으로 테이블을 필터링하려면 하나 이상의 상태를 선택합니다.
다음 값은 CVE 상태와 연결되어 있습니다.
- 수정 가능
- 수정할 수 없음

참고

필터링된 뷰 아이콘은 선택한 기준에 따라 표시된 결과가 필터링 되었음을 나타냅니다. 필터 지우기 를 클릭하여 모든 필터를 제거하거나 개별 필터를 클릭하여 제거할 수 있습니다.

결과 목록에서 CVE 또는 클러스터 이름을 클릭하여 항목에 대한 자세한 정보를 확인합니다. 예를 들어 항목 유형에 따라 다음 정보를 볼 수 있습니다.

처음 발견된 날짜
CVE를 수정할 수 있는지 여부
Red Hat 및 기타 CVE 데이터베이스의 CVE에 대한 외부 링크

15.2.6. CVE 제외

노드 및 플랫폼 CVE를 스노우팅하여 RHACS의 CVE를 제외하거나 무시하고 노드, 플랫폼 및 이미지 CVE를 잘못된 긍정으로 지연하거나 무시할 수 있습니다. CVE가 잘못된 긍정이거나 CVE를 완화하기 위한 단계를 이미 수행한 경우 CVE를 제외할 수 있습니다. sno Cryostated CVE는 취약점 보고에 표시되지 않거나 정책 위반을 트리거하지 않습니다.

CVE를 스누핑하여 지정된 기간 동안 전 세계적으로 무시하도록 할 수 있습니다. CVE를 스노우하는 것은 승인이 필요하지 않습니다.

참고

노드 및 플랫폼 CVE에서 ROX_VULN_MGMT_LEGACY_SNOOZE 환경 변수가 true 로 설정되어야 합니다.

CVE를 예외 관리 워크플로우를 통해 잘못 구성하거나 잘못된 것으로 표시합니다. 이 워크플로는 보류 중, 승인, 거부된 지연 및 잘못된 긍정 요청을 볼 수 있는 기능을 제공합니다. CVE 예외의 범위를 단일 이미지, 단일 이미지의 모든 태그 또는 모든 이미지에 대해 전역적으로 지정할 수 있습니다.

요청을 승인하거나 거부할 때 주석을 추가해야 합니다. CVE는 예외 요청이 승인될 때까지 관찰된 상태에 남아 있습니다. 다른 사용자가 거부한 deferral에 대한 보류 중인 요청은 보고서, 정책 위반 및 시스템의 기타 위치에 계속 표시되지만 취약점 관리 결과로 이동한 후 다음 페이지를 방문할 때 CVE 옆에 Pending 예외 레이블로 표시됩니다.

사용자 워크로드
플랫폼
취약한 모든 이미지
비활성 이미지

deferral 또는 false positive에 대한 승인된 예외는 다음과 같은 효과가 있습니다.

사용자 워크로드 탭의 Observed 탭에서 CVE를 유추 또는 False positive 탭으로 제거합니다.
CVE가 CVE와 관련된 정책 위반을 트리거하지 못하도록 합니다.
CVE가 자동으로 생성된 취약점 보고서에 표시되지 않도록 합니다.

15.2.6.1. 플랫폼 및 노드 CVE

인프라와 관련이 없는 플랫폼 및 노드 CVE를 스누핑할 수 있습니다. 영향을 받지 않을 때까지 CVE를 1일, 1주, 2주, 2주, 1개월, 무기한으로 제거할 수 있습니다. CVE는 즉시 적용되며 추가 승인 단계가 필요하지 않습니다.

참고

CVE를 스누핑하는 기능은 웹 포털 또는 API에서 기본적으로 활성화되어 있지 않습니다. CVE를 스누핑할 수 있도록 하려면 런타임 환경 변수 ROX_VULN_MGMT_LEGACY_SNOOZE 를 true 로 설정합니다.

프로세스

RHACS 포털에서 다음 작업을 수행합니다.
- 플랫폼 CVE를 보려면 취약점 관리 플랫폼 CVE를 클릭합니다.
- 노드 CVE를 보려면 취약점 관리 노드 CVE를 클릭합니다.
하나 이상의 CVE를 선택합니다.
CVE를 스누핑할 적절한 방법을 선택합니다.
- 단일 CVE를 선택한 경우 오버플로 메뉴인 를 클릭한 다음 Snooze CVE 를 선택합니다.
- 여러 CVE를 선택한 경우 Bulk actions Snooze CVE를 클릭합니다.
간과할 시간을 선택합니다.
Snooze CVE를 클릭합니다.
CVE를 스누핑할 것을 요청했는지 확인 메시지가 표시됩니다.

15.2.6.2. Unsno Cryostating 플랫폼 및 노드 CVE

이전에 스케줄링한 플랫폼 및 노드 CVE를 해제할 수 있습니다.

참고

CVE를 스누핑하는 기능은 웹 포털 또는 API에서 기본적으로 활성화되어 있지 않습니다. CVE를 스누핑할 수 있도록 하려면 런타임 환경 변수 ROX_VULN_MGMT_LEGACY_SNOOZE 를 true 로 설정합니다.

프로세스

RHACS 포털에서 다음 작업을 수행합니다.
- 플랫폼 CVE 목록을 보려면 취약점 관리 플랫폼 CVE를 클릭합니다.
- 노드 CVE 목록을 보려면 취약점 관리 노드 CVE를 클릭합니다.
sno Cryostated CVE 목록을 보려면 헤더 보기에서 Show sno Cryostated CVEs 를 클릭합니다.
조각된 CVE 목록에서 하나 이상의 CVE를 선택합니다.
CVE를 분리할 적절한 방법을 선택합니다.
- 단일 CVE를 선택한 경우 오버플로 메뉴 를 클릭한 다음 Unsnooze CVE 를 선택합니다.
- 여러 CVE를 선택한 경우 Bulk actions Unsnooze CVE 를 클릭합니다.
Unsnooze CVE 를 다시 클릭합니다.
CVE를 분리할 것을 요청했음을 확인합니다.

15.2.6.3. Sno Cryostated CVE 보기

클러스터된 플랫폼 및 노드 CVE 목록을 볼 수 있습니다.

참고

CVE를 스누핑하는 기능은 웹 포털 또는 API에서 기본적으로 활성화되어 있지 않습니다. CVE를 스누핑할 수 있도록 하려면 런타임 환경 변수 ROX_VULN_MGMT_LEGACY_SNOOZE 를 true 로 설정합니다.

프로세스

RHACS 포털에서 다음 작업을 수행합니다.
- 플랫폼 CVE 목록을 보려면 취약점 관리 플랫폼 CVE를 클릭합니다.
- 노드 CVE 목록을 보려면 취약점 관리 노드 CVE를 클릭합니다.
Show sno#159ed CVEs 를 클릭하여 목록을 확인합니다.

15.2.6.4. 취약점을 전 세계적으로 false positive로 표시

전역적으로 또는 모든 이미지에서 잘못된 긍정으로 표시하여 취약점에 대한 예외를 생성할 수 있습니다. 취약점을 예외 관리 워크플로우에서 잘못된 긍정 승인으로 표시하려면 요청을 받아야 합니다.

사전 요구 사항

VulnerabilityManagementRequests 리소스에 대한 쓰기 권한이 있습니다.

프로세스

RHACS 포털에서 취약점 관리 결과를 클릭합니다.
사용자 워크로드 를 클릭합니다.
CVE를 표시하는 적절한 방법을 선택합니다.
- 단일 CVE를 표시하려면 다음 단계를 수행합니다.
  1. 조치를 취할 CVE가 포함된 행을 찾습니다.
  2. 식별한 CVE의 오버플로 메뉴 를 클릭한 다음 Mark as false positive 를 선택합니다.
- 여러 CVE를 표시하려면 다음 단계를 수행합니다.
  1. 각 CVE를 선택합니다.
  2. Bulk 작업 드롭다운 목록에서 Mark as false positives 를 선택합니다.
예외를 요청하기 위한 근거를 입력합니다.
선택 사항: 예외 요청에 포함된 CVE를 검토하려면 CVE 선택을 클릭합니다.
요청 제출을 클릭합니다.
예외를 요청했다는 확인 메시지가 표시됩니다.
선택 사항: 승인 링크를 복사하여 조직의 예외 승인자와 공유하려면 복사 아이콘을 클릭합니다.
닫기를 클릭합니다.

15.2.6.5. 취약점을 이미지 또는 이미지 태그에 대한 잘못된 긍정으로 표시

취약점에 대한 예외를 만들려면 단일 이미지 또는 이미지와 연결된 모든 태그에 대해 잘못된 긍정으로 표시할 수 있습니다. 취약점을 예외 관리 워크플로우에서 잘못된 긍정 승인으로 표시하려면 요청을 받아야 합니다.

사전 요구 사항

VulnerabilityManagementRequests 리소스에 대한 쓰기 권한이 있습니다.

프로세스

RHACS 포털에서 취약점 관리 결과를 클릭합니다.
사용자 워크로드 탭을 클릭합니다.
이미지 목록을 보려면 < number&gt; 이미지를 클릭합니다.
false positive로 표시할 이미지를 나열하고 이미지 이름을 클릭합니다.
CVE를 표시하는 적절한 방법을 선택합니다.
- 단일 CVE를 표시하려면 다음 단계를 수행합니다.
  1. 조치를 취할 CVE가 포함된 행을 찾습니다.
  2. 식별한 CVE의 오버플로 메뉴 를 클릭한 다음 Mark as false positive 를 선택합니다.
- 여러 CVE를 표시하려면 다음 단계를 수행합니다.
  1. 각 CVE를 선택합니다.
  2. Bulk 작업 드롭다운 목록에서 Mark as false positives 를 선택합니다.
범위를 선택합니다. 이미지와 연결된 모든 태그 또는 이미지만 선택할 수 있습니다.
예외를 요청하기 위한 근거를 입력합니다.
선택 사항: 예외 요청에 포함된 CVE를 검토하려면 CVE 선택을 클릭합니다.
요청 제출을 클릭합니다.
예외를 요청했다는 확인 메시지가 표시됩니다.
선택 사항: 승인 링크를 복사하여 조직의 예외 승인자와 공유하려면 복사 아이콘을 클릭합니다.
닫기를 클릭합니다.

15.2.6.6. 지연 및 잘못된 긍정적인 CVE 보기

사용자 워크로드 페이지를 사용하여 지연되거나 잘못된 것으로 표시된 CVE를 볼 수 있습니다.

프로세스

승인자가 승인한 예외와 함께 지연되거나 잘못된 것으로 표시된 CVE를 보려면 취약점 관리 결과를 클릭합니다.
사용자 워크로드 탭을 클릭합니다.
다음 작업 중 하나를 완료합니다.
- 지연된 CVE를 보려면 거부 탭을 클릭합니다.
- false positives로 표시된 CVE를 보려면 False positives 탭을 클릭합니다.
  참고
  지연되거나 잘못된 영향을 미치는 CVE를 승인, 거부 또는 변경하려면 취약점 관리 예외 관리를 클릭합니다.
선택 사항: deferral 또는 false positive에 대한 추가 정보를 보려면 요청 세부 정보 열에서 보기를 클릭합니다. 예외 관리 페이지가 표시됩니다.

15.2.6.7. CVE 지연

완화 및 CVE 지연으로 위험을 감수할 수 있습니다. 예외 관리 워크플로우에서 지연된 요청이 승인되어야 합니다.

사전 요구 사항

VulnerabilityManagementRequests 리소스에 대한 쓰기 권한이 있습니다.

프로세스

RHACS 포털에서 취약점 관리 결과를 클릭합니다.
사용자 워크로드 탭을 클릭합니다.
CVE를 지연할 적절한 방법을 선택합니다.
- 단일 CVE를 지연하려면 다음 단계를 수행합니다.
  1. false positive로 표시할 CVE가 포함된 행을 찾습니다.
  2. 식별한 CVE의 오버플로 메뉴 를 클릭한 다음 Defer CVE 를 클릭합니다.
- 여러 CVE를 지연하려면 다음 단계를 수행합니다.
  1. 각 CVE를 선택합니다.
  2. Bulk actions Defer CVE를 클릭합니다.
deferral의 기간을 선택합니다.
예외를 요청하기 위한 근거를 입력합니다.
선택 사항: 예외 메뉴에 포함된 CVE를 검토하려면 CVE 선택을 클릭합니다.
요청 제출을 클릭합니다.
잘못 요청하신 것으로 확인 메시지가 표시됩니다.
선택 사항: 승인 링크를 조직의 예외 승인자와 공유하려면 복사 아이콘을 클릭합니다.
닫기를 클릭합니다.

15.2.6.7.1. 취약점 예외 만료 기간 구성

취약점 관리 예외에 사용할 수 있는 기간을 구성할 수 있습니다. 이러한 옵션은 사용자가 CVE 지연을 요청할 때 사용할 수 있습니다.

사전 요구 사항

VulnerabilityManagementRequests 리소스에 대한 쓰기 권한이 있습니다.

프로세스

RHACS 포털에서 플랫폼 구성 예외 구성으로 이동합니다.
사용자가 CVE 지연을 요청할 때 선택할 수 있는 만료 시간을 구성할 수 있습니다. 기간을 활성화하면 사용자가 사용할 수 있고 비활성화하면 사용자 인터페이스에서 제거할 수 있습니다.

15.2.6.8. CVE를 지연하거나 잘못된 것으로 표시하는 예외 요청 검토 및 관리

CVE를 잘못된 것으로 표시하고 있다는 예외 요청을 검토, 업데이트, 승인 또는 거부할 수 있습니다.

사전 요구 사항

VulnerabilityManagementRequests 리소스에 대한 쓰기 권한이 있습니다.

프로세스

보류 중인 요청 목록을 보려면 다음 작업 중 하나를 수행합니다.
- 승인 링크를 브라우저에 붙여넣습니다.
- Vulnerability Management Exception Management 를 클릭한 다음 Pending requests 탭에서 요청 이름을 클릭합니다.
취약점의 범위를 검토하고 이를 승인할지 여부를 결정합니다.
보류 중인 요청을 관리하려면 적절한 옵션을 선택합니다.
- 요청을 거부하고 CVE를 observed 상태로 되돌리려면 거부 요청을 클릭합니다.
  거부 에 대한 합리를 입력하고 거부를 클릭합니다.
- 요청을 승인하려면 승인 요청을 클릭합니다.
  승인 근거를 입력하고 승인을 클릭합니다.
생성한 요청을 취소하고 CVE를 observed 상태로 되돌리려면 취소 요청을 클릭합니다. 생성한 요청만 취소할 수 있습니다.
생성한 요청의 deferral time period 또는 rationale를 업데이트하려면 Update request 를 클릭합니다. 생성한 요청만 업데이트할 수 있습니다.
변경 후 요청 제출 을 클릭합니다.
요청을 제출했음을 확인합니다.

15.2.7. CVE를 사용한 구성 요소를 도입한 이미지에서 Dockerfile 행 식별

CVE를 사용하여 구성 요소를 도입한 이미지에서 특정 Dockerfile 행을 식별할 수 있습니다.

프로세스

문제가 있는 행을 보려면 다음을 수행합니다.

RHACS 포털에서 취약점 관리 결과를 클릭합니다.
사용자 워크로드 를 클릭합니다.
탭을 클릭하여 CVE 유형을 확인합니다. 다음 탭을 사용할 수 있습니다.
- 모니터링됨
- Deferred
- False positives
CVE 목록에서 CVE 이름을 클릭하여 CVE 세부 정보가 포함된 페이지를 엽니다. 영향을 받는 구성 요소 열에는 CVE가 포함된 구성 요소가 나열됩니다.
CVE를 확장하여 구성 요소를 도입한 Dockerfile 행을 포함하여 추가 정보를 표시합니다.

15.2.8. 새 구성 요소 버전 찾기

다음 절차에서는 업그레이드할 새 구성 요소 버전을 찾습니다.

프로세스

RHACS 포털에서 취약점 관리 결과를 클릭합니다.
사용자 워크로드 탭을 클릭합니다.
& lt;number&gt; 이미지를 클릭하고 이미지를 선택합니다.
추가 정보를 보려면 CVE를 찾아 확장 아이콘을 클릭합니다.
추가 정보에는 CVE가 있는 구성 요소 및 수정 가능한 경우 CVE가 수정된 버전이 포함됩니다.
이미지를 최신 버전으로 업데이트합니다.

15.2.9. API를 사용하여 워크로드 취약점 내보내기

API를 사용하여 Red Hat Advanced Cluster Security for Kubernetes에서 워크로드 취약점을 내보낼 수 있습니다.

이러한 예제의 경우 워크로드는 배포 및 관련 이미지로 구성됩니다. 내보내기는 /v1/export/vuln-mgmt/workloads 스트리밍 API를 사용합니다. 배포 및 이미지를 결합하여 내보낼 수 있습니다. 이미지 페이로드에는 전체 취약점 정보가 포함되어 있습니다. 출력은 스트리밍되며 다음 스키마가 있습니다.

Copy to Clipboard Toggle word wrap

{"result": {"deployment": {...}, "images": [...]}}
...
{"result": {"deployment": {...}, "images": [...]}}

{"result": {"deployment": {...}, "images": [...]}}
...
{"result": {"deployment": {...}, "images": [...]}}

다음 예제에서는 이러한 환경 변수가 설정되어 있다고 가정합니다.

ROX_API_TOKEN: 배포 및 이미지 리소스에 대한 보기 권한이 있는 API 토큰
ROX_ENDPOINT: 중부 API를 사용할 수 있는 끝점

모든 워크로드를 내보내려면 다음 명령을 입력합니다.

Copy to Clipboard Toggle word wrap

curl -H "Authorization: Bearer $ROX_API_TOKEN" $ROX_ENDPOINT/v1/export/vuln-mgmt/workloads

$ curl -H "Authorization: Bearer $ROX_API_TOKEN" $ROX_ENDPOINT/v1/export/vuln-mgmt/workloads

쿼리 제한 시간이 60초인 모든 워크로드를 내보내려면 다음 명령을 입력합니다.

Copy to Clipboard Toggle word wrap

curl -H "Authorization: Bearer $ROX_API_TOKEN" $ROX_ENDPOINT/v1/export/vuln-mgmt/workloads?timeout=60

$ curl -H "Authorization: Bearer $ROX_API_TOKEN" $ROX_ENDPOINT/v1/export/vuln-mgmt/workloads?timeout=60

쿼리 Deployment:app Namespace:default 와 일치하는 모든 워크로드를 내보내려면 다음 명령을 입력합니다.

Copy to Clipboard Toggle word wrap

curl -H "Authorization: Bearer $ROX_API_TOKEN" $ROX_ENDPOINT/v1/export/vuln-mgmt/workloads?query=Deployment%3Aapp%2BNamespace%3Adefault

$ curl -H "Authorization: Bearer $ROX_API_TOKEN" $ROX_ENDPOINT/v1/export/vuln-mgmt/workloads?query=Deployment%3Aapp%2BNamespace%3Adefault

추가 리소스

검색 및 필터링

15.2.1. RHACS 포털에서 취약점 관리 데이터 보기

15.2.2. 사용자 워크로드 취약점 보기

15.2.3. 플랫폼 취약점 보기

15.2.4. 노드의 취약점 보기

15.2.4.1. 노드의 취약점 식별 비활성화

15.2.5. 취약점 관리에서 추가 보기 액세스

15.2.5.1. 취약한 모든 이미지 보기

15.2.5.2. 비활성 이미지 스캔

15.2.5.3. 관찰된 CVE 없이 이미지 및 배포 분석

15.2.5.4. Kubernetes 취약점 보기

15.2.6. CVE 제외

15.2.6.1. 플랫폼 및 노드 CVE

15.2.6.2. Unsno Cryostating 플랫폼 및 노드 CVE

15.2.6.3. Sno Cryostated CVE 보기

15.2.6.4. 취약점을 전 세계적으로 false positive로 표시

15.2.6.5. 취약점을 이미지 또는 이미지 태그에 대한 잘못된 긍정으로 표시

15.2.6.6. 지연 및 잘못된 긍정적인 CVE 보기

15.2.6.7. CVE 지연

15.2.6.7.1. 취약점 예외 만료 기간 구성

15.2.6.8. CVE를 지연하거나 잘못된 것으로 표시하는 예외 요청 검토 및 관리

15.2.7. CVE를 사용한 구성 요소를 도입한 이미지에서 Dockerfile 행 식별

15.2.8. 새 구성 요소 버전 찾기

15.2.9. API를 사용하여 워크로드 취약점 내보내기

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links