Red Hat Summit3.2. Central
Red Hat은 RHACS 클라우드 서비스의 컨트롤 플레인인 Central을 관리합니다. 이러한 서비스에는 다음 구성 요소가 포함됩니다.
- Central 은 RHACS 애플리케이션 관리 인터페이스 및 서비스입니다. API 상호 작용 및 사용자 인터페이스(RHACS 포털) 액세스를 처리합니다.
- Central DB: Central DB는 RHACS의 데이터베이스이며 모든 데이터 지속성을 처리합니다. 현재 PostgreSQL 13을 기반으로 합니다.
- 스캐너 V4: 버전 4.4부터 RHACS에는 컨테이너 이미지를 스캔하기 위한 스캐너 V4 취약점 스캐너가 포함되어 있습니다. 스캐너 V4는 ClairCore 를 기반으로 하며 Clair 스캐너의 전원을 켭니다. 스캐너 V4에는 스캔에 사용되는 Indexer, Matcher, scanner V4 DB 구성 요소가 포함되어 있습니다.
- StackRox 스캐너: StackRox 스캐너는 RHACS의 기본 스캐너입니다. StackRox 스캐너는 Clair v2 오픈 소스 스캐너의 포크에서 시작됩니다.
- scanner-DB: 이 데이터베이스에는 StackRox 스캐너에 대한 데이터가 포함되어 있습니다.
RHACS 스캐너는 각 이미지 계층을 분석하여 기본 운영 체제를 확인하고 운영 체제 패키지 관리자가 설치한 프로그래밍 언어 패키지 및 패키지를 식별합니다. 이러한 취약점은 다양한 취약점 소스의 알려진 취약점과 일치하는 결과를 찾습니다. 또한 StackRox 스캐너는 노드의 운영 체제 및 플랫폼의 취약점을 식별합니다. 이러한 기능은 향후 릴리스에서 scanner V4에 대해 계획되어 있습니다.
3.2.1. 취약점 데이터 소스
취약점의 출처는 시스템에서 사용되는 스캐너에 따라 다릅니다. RHACS에는 StackRox 스캐너 및 스캐너 V4의 두 개의 스캐너가 포함되어 있습니다. StackRox 스캐너는 기본 스캐너이며 릴리스 4.6부터 더 이상 사용되지 않습니다. 스캐너 V4는 릴리스 4.4에서 도입되었으며 권장되는 이미지 스캐너입니다.
3.2.1.1. StackRox 스캐너 소스
StackRox 스캐너는 다음 취약점 소스를 사용합니다.
- Red Hat OVAL v2
- Alpine 보안 데이터베이스
- Amazon Linux Security Center에서 추적된 데이터
- Debian Security Tracker
- Ubuntu CVE Tracker
NVD: 이는 공급업체가 정보를 제공하지 않을 때 정보 격차를 채우는 것과 같은 다양한 용도로 사용됩니다. 예를 들어 Alpine은 설명, CVSS 점수, 심각도 또는 게시된 날짜를 제공하지 않습니다.
참고이 제품은 NVD API를 사용하지만 NVD에서 보증하거나 인증되지는 않습니다.
- Linux 수동 항목 및 NVD 수동 항목: 업스트림 StackRox 프로젝트는 다른 소스의 데이터 형식 또는 데이터 부족으로 인해 발견되지 않을 수 있는 취약점을 유지 관리합니다.
- repository-to-cpe.json: RPM 리포지토리를 관련 CPE에 매핑하며, 이는 RHEL 기반 이미지의 일치 취약점에 필요합니다.
3.2.1.2. 스캐너 V4 소스
scanner V4는 다음 취약점 소스를 사용합니다.
- Red Hat VEX
릴리스 4.6 이상과 함께 사용됩니다. 이 소스는 VEX( Vulnerability Exploitability eXchange) 형식으로 취약점 데이터를 제공합니다. RHACS는 VEX 이점을 활용하여 취약점 데이터의 초기 로드에 필요한 시간과 취약성 데이터를 저장하는 데 필요한 공간을 크게 줄입니다.
RHACS는 OVAL(예: RHACS 버전 4.5) 및 버전 4.6과 같은 VEX를 사용하는 RHACS 버전으로 스캔할 때 다른 수의 취약점을 나열할 수 있습니다. 예를 들어 RHACS는 더 이상 "검토 대상" 상태로 취약점을 표시하지 않지만 이러한 취약점은 OVAL 데이터를 사용한 이전 버전에 포함되었습니다.
OVAL, CCSAF(Common Security Advisory Framework Version 2.0) 및 VEX 사용에 대한 정보를 포함하여 Red Hat 보안 데이터에 대한 자세한 내용은 Red Hat 보안 데이터의 미래를 참조하십시오.
- Red Hat CVE Map
- 이는 Red Hat Container Catalog 에 표시되는 이미지의 VEX 데이터와 함께 사용됩니다.
- OSV
이는 Go, Java, JavaScript, Python 및 Ruby와 같은 언어 관련 취약점에 사용됩니다. 이 소스는 GitHub Security Advisory(GHSA) ID와 같은 취약점에 대한 CVE ID 이외의 취약점 ID를 제공할 수 있습니다.
참고RHACS는 Apache License 2.0 에서 OSV.dev 에서 사용할 수 있는 OSV 데이터베이스를 사용합니다.
- NVD
이는 공급업체가 정보를 제공하지 않을 때 정보 격차를 채우는 것과 같은 다양한 용도로 사용됩니다. 예를 들어 Alpine은 설명, CVSS 점수, 심각도 또는 게시된 날짜를 제공하지 않습니다.
참고이 제품은 NVD API를 사용하지만 NVD에서 보증하거나 인증되지는 않습니다.
- 추가 취약점 소스
- Alpine 보안 데이터베이스
- Amazon Linux Security Center에서 추적된 데이터
- Debian Security Tracker
- Oracle OVAL
- Cryostat OVAL
- SUSE OVAL
- Ubuntu OVAL
- StackRox: 업스트림 StackRox 프로젝트는 다른 소스의 데이터 형식 또는 데이터 부족으로 인해 발견되지 않을 수 있는 일련의 취약점을 유지 관리합니다.
- scanner V4 Indexer 소스
scanner V4 인덱서는 다음 파일을 사용하여 Red Hat 컨테이너를 인덱싱합니다.
- repository-to-cpe.json: RPM 리포지토리를 관련 CPE에 매핑하며, 이는 RHEL 기반 이미지의 일치 취약점에 필요합니다.
- container-name-repos-map.json: 컨테이너 이름과 해당 리포지토리와 일치합니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}