红帽全球峰会第 10 章 检查漏洞的镜像
通过 Red Hat Advanced Cluster Security for Kubernetes,您可以分析镜像的漏洞。扫描程序通过将所有镜像层与常见漏洞和暴露(CVE)列表进行比较,以分析所有镜像层以检查已知漏洞。
当 Scanner 找到任何漏洞时,它:
- 在详细分析的 漏洞管理视图中显示它们。
- 根据风险对漏洞进行评级,并在 RHACS 门户中突出显示它们进行风险评估。
- 根据启用 的安全策略对其进行检查。
扫描程序检查镜像,并根据镜像中的文件识别已安装的组件。如果最终镜像被修改为删除以下文件,则可能无法识别已安装的组件或漏洞:
| 组件 | 文件 |
|---|---|
| 软件包管理器 |
|
| 语言级依赖项 |
|
| 应用程序级别的依赖项 |
|
10.1. 扫描镜像
Central 将镜像扫描请求提交到 Scanner。在收到这些请求时,Scanner 从相关的 registry 中拉取镜像层,检查镜像,并识别每个层中安装的软件包。然后,它会将识别的软件包和特定于编程语言的依赖项与漏洞列表进行比较,并将信息发回到 Central。
您还可以将 Red Hat Advanced Cluster Security for Kubernetes 与其他漏洞扫描程序集成。
扫描程序识别以下漏洞:
- 基础镜像操作系统
- 软件包管理器安装的软件包
- 特定于编程语言的依赖项
- 编程运行时和框架
了解并解决常见的 Scanner 警告信息
当使用 Red Hat Advanced Cluster Security for Kubernetes (RHACS)扫描镜像时,您可能会看到 CVE DATA MAY BE INACCURATE 警告信息。当扫描程序无法检索有关操作系统或其他镜像中其他软件包的完整信息时,扫描程序会显示此消息。
下表显示了一些常见的 Scanner 警告信息:
| 消息 | 描述 |
|---|---|
|
| 表示 Scanner 不支持镜像的基本操作系统,因此无法检索操作系统级别的软件包的 CVE 数据。 |
|
| 表示镜像的基本操作系统已达到生命周期结束,这意味着漏洞数据已过时。例如,Debian 8 和 9。 有关识别镜像中组件所需的文件的更多信息,请参阅 检查漏洞的镜像。 |
|
| 表示 Scanner 会扫描镜像,但无法决定用于镜像的基本操作系统。 |
|
|
表示目标 registry 在网络上无法访问。原因可能是防火墙阻止 要分析根本原因,请为私有 registry 或存储库创建一个特殊的 registry 集成,以获取 RHACS Central 的 pod 日志。有关如何进行此操作的说明,请参阅 与镜像 registry 集成。 |
|
| 表示 Scanner 扫描了镜像,但镜像旧且没有在 Red Hat Scanner 认证范围内。如需更多信息,请参阅 红帽漏洞扫描程序认证合作伙伴指南。 重要 如果您使用红帽 容器镜像,请考虑使用比 2020 年 6 月更新的基础镜像。 |
支持的软件包格式
扫描程序可以检查镜像中使用以下软件包格式的漏洞:
- yum
- microdnf
- apt
- apk
- dpkg
- RPM
支持的编程语言
扫描程序可以检查依赖项中的漏洞,以了解以下编程语言:
- Java
- JavaScript
- Python
- Ruby
支持的运行时和框架
从 Red Hat Advanced Cluster Security for Kubernetes 3.0.50 (Scanner 版本 2.5.0)开始,Scanner 识别以下开发人员平台中的漏洞:
- .NET Core
- ASP.NET Core
支持的操作系统
本节中列出的支持的平台是 Scanner 识别漏洞的发行版本,它与您可以安装 Red Hat Advanced Cluster Security for Kubernetes 的支持的平台不同。
扫描程序识别包含以下 Linux 发行版本的镜像中的漏洞:
| 分发 | 版本 |
|---|---|
|
| |
|
| |
|
| |
|
| |
|
| |
|
|
- 扫描程序不支持 Fedora 操作系统,因为 Fedora 不维护漏洞数据库。但是,Scanner 仍然检测基于 Fedora 的镜像中的特定语言漏洞。
扫描程序还会识别以下镜像中的漏洞。但是,漏洞源不再被其供应商更新:
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}