Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

14.2. 查看和解决漏洞

常见的漏洞管理任务包括识别和排列漏洞的优先级,修复漏洞,以及对新威胁进行监控。

14.2.1. 查看漏洞
复制链接

在过去,RHACS 提供了漏洞管理仪表板中系统发现的漏洞视图。仪表板在 RHACS 4.5 中已弃用,并将在以后的版本中删除。有关仪表板的更多信息,请参阅使用漏洞管理仪表板

Vulnerability Management Workload CVEs 页面提供有关系统中集群中运行的应用程序漏洞的信息。您可以查看跨镜像和部署的漏洞信息。Workload CVEs 页面提供高级过滤功能,包括能够查看包含漏洞的镜像和部署,并根据镜像、部署、命名空间、集群、CVE、组件和组件源进行过滤。

14.2.2. 查看工作负载 CVE
复制链接

Vulnerability Management Workload CVEs 页面提供有关系统中集群中运行的应用程序漏洞的信息。您可以查看跨镜像和部署的漏洞信息。Workload CVEs 页面提供比仪表板更高级的过滤功能,包括可以查看带有镜像、部署、命名空间、集群、CVE、组件和组件源的镜像和部署的功能。

流程

  1. 要显示所有镜像中的所有 CVE,请从 View image vulnerabilities 列表中选择 Image vulnerability。

  2. View image vulnerabilities 列表中,选择如何查看镜像。提供了以下选项:

    • 镜像漏洞 :显示 RHACS 已发现 CVE 的镜像和部署。

    • 没有漏洞的镜像 :显示至少满足以下条件之一的镜像:

      • 没有 CVE 的镜像

      • 报告扫描程序错误的镜像可能会导致假的 CVE

        注意

        实际上包含漏洞的镜像可能会意外出现在此列表中。例如,如果 Scanner 能够扫描镜像,且它对 RHACS 已知,但扫描没有成功完成,则无法检测到漏洞。如果镜像有 RHACS 扫描程序不支持的操作系统,会出现这种情况。当您将鼠标悬停在镜像列表中的镜像时,会显示扫描错误,或者点击镜像名称以了解更多信息。

  3. 要根据实体过滤 CVE,请选择适当的过滤器和属性。

    要选择多个实体和属性,请点击右箭头图标来添加另一个条件。根据您的选择,输入适当的信息,如文本,或者选择一个日期或对象。

    下表中列出了过滤器实体和属性。

    Expand
    表 14.1. CVE 过滤
    实体属性

    镜像

    • Name :镜像的名称。
    • 操作系统 :镜像的操作系统。
    • Tag: 镜像标签。
    • Label: 镜像的标签。
    • Registry: 镜像所在的 registry。

    CVE

    • 名称 :CVE 的名称。
    • 发现时间 :当 RHACS 发现 CVE 的日期。

    • CVSS: CVE 的严重性级别。您可以从严重性级别的以下选项中选择:

      • 大于
      • 大于或等于
      • 等于
      • 小于或等于
      • 小于

    镜像组件

    • Name :镜像组件的名称,如 activerecord-sql-server-adapter

    • Source:

      • OS
      • Python
      • Java
      • Ruby
      • Node.js
      • Go
      • dotnet Core Runtime
      • 基础架构
    • 版本 :镜像组件的版本;例如 3.4.21。您可以使用此选项搜索组件的特定版本,例如与组件名称结合使用。

    Deployment

    • 名称 :部署的名称。
    • Label: 部署的标签。
    • 注解 :部署的注解。

    命名空间

    • Name :命名空间的名称。
    • Label: 命名空间的标签。
    • 注解 :命名空间的注解。

    Cluster

    • name :集群名称。
    • label : 集群 的标签
    • 类型 :集群类型,如 OCP。
    • 平台类型 :平台类型,如 OpenShift 4 集群。

  4. 您可以选择以下选项来优化结果列表:

    • 根据命名空间视图 的优先顺序 :显示根据风险优先级排序的命名空间列表。您可以使用此视图快速识别和解决最重要的区域。在这个视图中,点表行中的 < number> deployments 返回工作负载 CVE 列表视图,其过滤器仅用于显示所选命名空间的部署、镜像和 CVE。
    • 默认过滤器 :您可以选择在访问 Workload CVEs 页面时自动应用的 CVE 严重性和 CVE 状态的过滤器。这些过滤器只适用于此页面,当您从 RHACS Web 门户的另一个部分或从书签的 URL 访问页面时,会被应用。它们保存在浏览器的本地存储中。
    • CVE 严重性 :您可以选择一个或多个级别。
    • CVE 状态 :您可以选择 FixableNot fixable
注意

Filtered 视图 图标显示根据您选择的条件过滤显示的结果。您可以单击 Clear filters 来删除所有过滤器,或通过单击各个过滤器来删除它们。

在结果列表中,点 CVE、镜像名称或部署名称查看有关项目的更多信息。例如,根据项目类型,您可以查看以下信息:

  • CVE 是否可以被修复
  • 镜像是否活跃
  • 包含 CVE 的镜像中的 Dockerfile 行
  • 有关红帽和其他 CVE 数据库中 CVE 的外部链接

搜索示例

下图显示了名为 staging-secured-cluster 的集群的搜索条件示例,以查看集群中具有可修复状态的关键和重要严重性的 CVE。

工作负载 CVE 显示在 'staging-secured-cluster' 上针对具有关键、重要严重性和可修复状态的 CVE 的搜索
View larger image
工作负载 CVE 显示在 'staging-secured-cluster' 上针对具有关键、重要严重性和可修复状态的 CVE 的搜索

14.2.3. 查看节点 CVE
复制链接

您可以使用 RHACS 识别节点中的漏洞。被识别的漏洞包括:

  • 核心 Kubernetes 组件中的漏洞
  • 容器运行时中的漏洞,如 Docker、CRI-O、runC 和 containerd

有关 RHACS 可扫描的操作系统的更多信息,请参阅"支持的操作系统"。

流程

  1. 在 RHACS 门户中,点 Vulnerability Management Node CVEs

  2. 要查看数据,请执行以下任一任务:

    • 要查看影响所有节点的所有 CVE 列表,请选择 < number> CVEs
    • 要查看包含 CVE 的节点列表,请选择 < number> Nodes

  3. 可选: 要根据实体过滤 CVE,请选择适当的过滤器和属性。要添加更多过滤条件,请按照以下步骤执行:

    1. 从列表中选择 entity 或 属性。
    2. 根据您的选择,输入适当的信息,如文本,或者选择一个日期或对象。
    3. 点向右箭头图标。

    4. 可选:选择其他实体和属性,然后单击右箭头图标来添加它们。下表中列出了过滤器实体和属性。

      Expand
      表 14.2. CVE 过滤
      实体属性

      节点

      • 名称 :节点的名称。
      • 操作系统 :节点的操作系统,如 Red Hat Enterprise Linux (RHEL)。
      • label :节点的标签。
      • 注解 :节点的注解。
      • 扫描时间 :节点的扫描日期。

      CVE

      • 名称 :CVE 的名称。
      • 发现时间 :当 RHACS 发现 CVE 的日期。

      • CVSS: CVE 的严重性级别。您可以从严重性级别的以下选项中选择:

        • 大于
        • 大于或等于
        • 等于
        • 小于或等于
        • 小于

      节点组件

      • name :组件的名称。
      • 版本: 组件的版本,如 4.15.0-2024。您可以使用此选项搜索组件的特定版本,例如与组件名称结合使用。

      Cluster

      • name :集群名称。
      • label : 集群 的标签
      • 类型 :集群类型,如 OCP。
      • 平台类型 :平台类型,如 OpenShift 4 集群。

  4. 可选: 要优化结果列表,请执行以下任一任务:

    • 单击 CVE 严重性,然后选择一个或多个级别。
    • 单击 CVE 状态,然后选择 FixableNot fixable
  5. 可选: 要查看节点的详情,并根据该节点的 CVSS 分数和可修复的 CVE 信息,点节点列表中的节点名称。

14.2.3.1. 禁用识别节点中的漏洞
复制链接

默认启用节点中的漏洞。您可以从 RHACS 门户禁用它。

流程

  1. 在 RHACS 门户中,进入 Platform Configuration Integrations
  2. Image Integrations 下,选择 StackRox Scanner
  3. 从扫描程序列表中,选择 StackRox Scanner 来查看其详情。
  4. Edit
  5. 要只使用镜像扫描程序而不是节点扫描程序,点 Image Scanner
  6. 点击 Save

其他资源

14.2.4. 查看平台 CVE
复制链接

平台 CVE 页面提供有关系统中集群中漏洞的信息。

流程

  1. Vulnerability Management Platform CVEs

  2. 您可以通过选择适当的过滤器和属性来根据实体过滤 CVE。您可以点右箭头图标来添加另一个条件来选择多个实体和属性。根据您的选择,输入适当的信息,如文本,或者选择一个日期或对象。下表中列出了过滤器实体和属性。

    Expand
    表 14.3. CVE 过滤
    实体属性

    Cluster

    • name :集群名称。
    • label : 集群 的标签
    • 类型 :集群类型,如 OCP。
    • 平台类型 :平台类型,如 OpenShift 4 集群。

    CVE

    • 名称 :CVE 的名称。
    • 发现时间 :当 RHACS 发现 CVE 的日期。

    • CVSS: CVE 的严重性级别。您可以从严重性级别的以下选项中选择:

      • 大于
      • 大于或等于
      • 等于
      • 小于或等于
      • 小于

    • 类型: CVE 的类型:

      • Kubernetes CVE
      • Istio CVE
      • OpenShift CVE
  3. 要根据 CVE 状态过滤,请点 CVE 状态 并选择 FixableNot fixable
注意

Filtered 视图 图标显示根据您选择的条件过滤显示的结果。您可以单击 Clear filters 来删除所有过滤器,或通过单击各个过滤器来删除它们。

在结果列表中,点 CVE 查看有关项目的更多信息。例如,如果填充了以下信息,您可以查看以下信息:

  • CVE 文档
  • 有关红帽和其他 CVE 数据库中 CVE 的外部链接
  • CVE 是否可修复或不可修复
  • 受影响集群列表

14.2.5. 排除 CVE
复制链接

您可以通过 snoozing 节点和平台 CVE 延迟或将节点、平台和镜像 CVE 标记为假的正状态来排除或忽略 RHACS 中的 CVE。如果您知道 CVE 是误报,或者已经采取了缓解 CVE 的步骤,您可能需要排除 CVE。Snoozed CVE 不会出现在漏洞报告中,或触发策略违反情况。

您可以对一个 CVE 进行指定时间(在一个指定的时间段内)在全局范围内忽略它。Snoozing 一个 CVE 不需要批准。

注意

Snoozing 节点和平台 CVE 要求 ROX_VULN_MGMT_LEGACY_SNOOZE 环境变量设置为 true

延迟或将 CVE 标记为假的正状态是通过异常管理工作流完成的。此工作流提供查看待处理、批准和拒绝延迟和假正请求的功能。您可以将 CVE 例外限制为单个镜像、单个镜像的所有标签,或对所有镜像进行全局处理。

在批准或拒绝请求时,您必须添加一个注释。在批准异常请求前,CVE 会一直处于观察到的状态。另一个用户拒绝的待处理请求仍然在报告、策略违反情况和其他位置中看到,但在访问 Vulnerability Management Workload CVE 时由 CVE 旁边的 Pending 异常 标签表示。

延迟或假正的批准异常有以下影响:

  • Vulnerability Management Workflow CVE 中的 Observed 选项卡中删除 CVE,到 DeferredFalse positive 标签页
  • 防止 CVE 触发与 CVE 相关的策略违反情况
  • 防止 CVE 在自动生成的漏洞报告中显示

14.2.5.1. Snoozing 平台和节点 CVE
复制链接

您可以 snooze 与您的基础架构无关的平台和节点 CVE。您可以对 1 天、1 周、2 周、1个月或无限期的 CVE 打电话,直到您释放了 CVE。Snoozing 一个 CVE 会立即生效,不需要额外的批准步骤。

注意

在 Web 门户或 API 中默认不启用对 CVE 进行定制(sooze)的功能。要启用 snooze CVEs 的功能,请将运行时环境变量 ROX_VULN_MGMT_LEGACY_SNOOZE 设置为 true

流程

  1. 在 RHACS 门户中,执行以下任务:

    • 要查看平台 CVE,请点击 Vulnerability Management Platform CVE
    • 要查看节点 CVE,请点 Vulnerability Management Node CVEs
  2. 选择一个或多个 CVE。

  3. 选择相应的方法来对 CVE 打电话:

    • 如果您选择了单个 CVE,点溢出菜单 kebab ,然后选择 Snooze CVE
    • 如果您选择了多个 CVE,请点击 Bulk actions Snooze CVEs
  4. 选择对 snooze 的时间持续时间。

  5. 单击 Snooze CVEs

    您会收到一确认您申请的 CVE。

14.2.5.2. Unsnoozing 平台和节点 CVE
复制链接

您可以取消之前 snoozed 的平台和节点 CVE。

注意

在 Web 门户或 API 中默认不启用对 CVE 进行定制(sooze)的功能。要启用 snooze CVEs 的功能,请将运行时环境变量 ROX_VULN_MGMT_LEGACY_SNOOZE 设置为 true

流程

  1. 在 RHACS 门户中,执行以下任务:

    • 要查看平台 CVE 列表,请点 Vulnerability Management Platform CVEs
    • 要查看节点 CVE 列表,请点 Vulnerability Management Node CVEs
  2. 要查看 snoozed CVE 列表,请点击标头视图中的 Show snoozed CVE
  3. 从 snoozed CVE 列表中选择一个或多个 CVE。

  4. 选择取消 CVE 的适当方法:

    • 如果您选择了一个 CVE,点 overflow 菜单 kebab ,然后选择 Unsnooze CVE
    • 如果您选择了多个 CVE,请点击 Bulk actions Unsnooze CVEs

  5. 再次单击 Unsnooze CVE

    您会收到一确认您已请求取消 CVE。

14.2.5.3. 查看 snoozed CVE
复制链接

您可以查看已 snoozed 的平台和节点 CVE 列表。

注意

在 Web 门户或 API 中默认不启用对 CVE 进行定制(sooze)的功能。要启用 snooze CVEs 的功能,请将运行时环境变量 ROX_VULN_MGMT_LEGACY_SNOOZE 设置为 true

流程

  1. 在 RHACS 门户中,执行以下任务:

    • 要查看平台 CVE 列表,请点 Vulnerability Management Platform CVEs
    • 要查看节点 CVE 列表,请点 Vulnerability Management Node CVEs
  2. Show snoozed CVEs 查看列表。

14.2.5.4. 将漏洞标记为全局假的正状态
复制链接

您可以通过将漏洞设置为全局的假正或所有镜像来创建例外。您必须在异常管理工作流中获得将漏洞标记为假正批准的请求。

先决条件

  • 您有 VulnerabilityManagementRequests 资源的写入权限。

流程

  1. 在 RHACS 门户中,点 Vulnerability Management Workload CVEs

  2. 选择标记 CVE 的适当方法:

    • 如果要标记单个 CVE,请执行以下步骤:

      1. 找到包含您要执行操作的 CVE 的行。
      2. 点您确定的 CVE 的溢出菜单 kebab ,然后选择 Mark as false positive

    • 如果要标记多个 CVE,请执行以下步骤:

      1. 选择每个 CVE。
      2. Bulk actions 下拉列表中选择 Mark as false positives
  3. 为请求异常输入理由。
  4. 可选: 要查看异常请求中包含的 CVE,请点 CVE 选择

  5. 单击 提交请求

    您收到您请求了异常的确认。

  6. 可选: 要复制批准链接并将其与机构的例外批准者共享,点复制图标。
  7. 单击 Close

要为漏洞创建例外,您可以将其标记为单个镜像的假正状态,或者在与镜像关联的所有标签中。您必须在异常管理工作流中获得将漏洞标记为假正批准的请求。

先决条件

  • 您有 VulnerabilityManagementRequests 资源的写入权限。

流程

  1. 在 RHACS 门户中,点 Vulnerability Management Workload CVEs
  2. 要查看镜像列表,请点 < number> Images
  3. 找到列出您要标记为假正的镜像的行,然后点镜像名称。

  4. 选择标记 CVE 的适当方法:

    • 如果要标记单个 CVE,请执行以下步骤:

      1. 找到包含您要执行操作的 CVE 的行。
      2. 点您确定的 CVE 的溢出菜单 kebab ,然后选择 Mark as false positive

    • 如果要标记多个 CVE,请执行以下步骤:

      1. 选择每个 CVE。
      2. Bulk actions 下拉列表中选择 Mark as false positives
  5. 选择范围。您可以选择与镜像关联的所有标签,或者仅选择与该镜像关联的所有标签。
  6. 为请求异常输入理由。
  7. 可选: 要查看异常请求中包含的 CVE,请点 CVE 选择

  8. 单击 提交请求

    您收到您请求了异常的确认。

  9. 可选: 要复制批准链接并将其与机构的例外批准者共享,点复制图标。
  10. 单击 Close

14.2.5.6. 查看延迟和假的 CVE
复制链接

您可以使用 Workload CVEs 页面查看延迟或标记为假正的 CVE。

流程

  1. 要查看已延迟或标记为假正的 CVE,以及批准人批准的例外,请点 Vulnerability Management Workload CVEs。完成以下任一操作:

    • 要查看延迟的 CVE,请点击 Deferred 选项卡。

    • 要查看标记为假正的 CVE,请点击 False positives 选项卡。

      注意

      要批准、拒绝或更改延迟或假的 CVE,请点击 Vulnerability Management Exception Management

  2. 可选: 要查看有关延迟或假正的其他信息,请点击 Request 详情 栏中的 View。此时会显示 Exception Management 页面。

14.2.5.7. 延迟 CVE
复制链接

您可以接受风险,并在没有缓解措施的情况下接受风险,并推迟 CVE。您必须在异常管理工作流中获得批准的延迟请求。

先决条件

  • 您有 VulnerabilityManagementRequests 资源的写入权限。

流程

  1. 在 RHACS 门户中,点 Vulnerability Management Workload CVEs

  2. 选择延迟 CVE 的适当方法:

    • 如果要延迟单个 CVE,请执行以下步骤:

      1. 找到包含您要标记为假的 CVE 的行。
      2. 点您确定的 CVE 的溢出菜单 kebab ,然后点 Defer CVE

    • 如果要延迟多个 CVE,请执行以下步骤:

      1. 选择每个 CVE。
      2. Bulk actions Defer CVEs
  3. 选择延迟的时间周期。
  4. 为请求异常输入理由。
  5. 可选: 要查看异常菜单中的 CVE,请点 CVE 选择

  6. 单击 提交请求

    您收到您请求延迟的确认。

  7. 可选: 要复制批准链接,将其与机构的异常批准器共享,点复制图标。
  8. 单击 Close
14.2.5.7.1. 配置漏洞异常过期周期
复制链接

您可以配置可用于漏洞管理例外的时间周期。当用户请求延迟 CVE 时,可以使用这些选项。

先决条件

  • 您有 VulnerabilityManagementRequests 资源的写入权限。

流程

  1. 在 RHACS 门户中,进入 Platform Configuration Exception Configuration
  2. 您可以配置用户可以在请求延迟 CVE 时选择的过期时间。启用时间段可让用户将其从用户界面中删除。

您可以检查、更新、批准或拒绝延迟延迟的异常请求,并将 CVE 标记为假的正状态。

先决条件

  • 您有 VulnerabilityManagementRequests 资源的写入权限。

流程

  1. 要查看待处理的请求列表,请执行以下任一任务:

    • 将批准链接粘贴到您的浏览器中。
    • Vulnerability Management Exception Management,然后点 Pending requests 选项卡中的请求名称。
  2. 查看漏洞的范围,并决定是否批准它。

  3. 选择适当的选项来管理待处理请求:

    • 如果要拒绝请求并将 CVE 返回到观察到的状态,请单击 Deny request

      输入拒绝的比率,然后单击 Deny

    • 如果要批准请求,请点 Approve request

      为批准输入理由,然后单击 Approve

  4. 要取消您创建的请求并将 CVE 返回为观察到的状态,请单击 Cancel request。您只能取消您创建的请求。

  5. 要为您创建的请求更新延迟时间周期或比例,请单击 Update request。您只能更新您创建的请求。

    进行更改后,单击 提交请求

    您会收到已提交请求的确认。

您可以在使用 CVE 引入组件的镜像中识别特定的 Dockerfile 行。

流程

查看有问题的行:

  1. 在 RHACS 门户中,点 Vulnerability Management Workload CVEs

  2. 点标签查看 CVE 的类型。可用的标签页如下:

    • observed
    • 延迟
    • 假的正状态
  3. 在 CVE 列表中,点 CVE 名称打开包含 CVE 详细信息的页面。Affected components 列列出了包括 CVE 的组件。
  4. 扩展 CVE 以显示其他信息,包括引入该组件的 Dockerfile 行。

14.2.7. 查找新的组件版本
复制链接

以下流程找到要升级到的新组件版本。

流程

  1. 在 RHACS 门户中,点 Vulnerability Management Workload CVEs
  2. <number> Images 并选择镜像。

  3. 要查看其他信息,请找到 CVE 并点展开图标。

    其他信息包括 CVE 所在的组件以及 CVE 被修复的版本(如果可以修复)。

  4. 将您的镜像更新至更新的版本。

14.2.8. 使用 API 导出工作负载漏洞
复制链接

您可以使用 API 在 Red Hat Advanced Cluster Security for Kubernetes 中导出工作负载漏洞。

对于这些示例,工作负载由部署及其关联的镜像组成。导出使用 /v1/export/vuln-mgmt/workloads streaming API。它允许组合导出部署和镜像。镜像 有效负载包含完整的漏洞信息。输出被流传输,并具有以下模式: 

{"result": {"deployment": {...}, "images": [...]}}
...
{"result": {"deployment": {...}, "images": [...]}}
Copy to Clipboard Toggle word wrap

以下示例假定已设置了这些环境变量:

  • ROX_API_TOKEN: API 令牌具有 DeploymentImage 资源的 查看 权限
  • ROX_ENDPOINT: 在其下提供 Central API 的端点

  • 要导出所有工作负载,请输入以下命令: 

    $ curl -H "Authorization: Bearer $ROX_API_TOKEN" $ROX_ENDPOINT/v1/export/vuln-mgmt/workloads
    Copy to Clipboard Toggle word wrap

  • 要导出查询超时为 60 秒的所有工作负载,请输入以下命令: 

    $ curl -H "Authorization: Bearer $ROX_API_TOKEN" $ROX_ENDPOINT/v1/export/vuln-mgmt/workloads?timeout=60
    Copy to Clipboard Toggle word wrap

  • 要导出与查询 Deployment:app Namespace:default 匹配的所有工作负载,请输入以下命令: 

    $ curl -H "Authorization: Bearer $ROX_API_TOKEN" $ROX_ENDPOINT/v1/export/vuln-mgmt/workloads?query=Deployment%3Aapp%2BNamespace%3Adefault
    Copy to Clipboard Toggle word wrap

14.2.8.1. 扫描不活跃的镜像
复制链接

Red Hat Advanced Cluster Security for Kubernetes (RHACS)每 4 小时扫描所有活跃的(部署)镜像,并更新镜像扫描结果以反映最新的漏洞定义。

您还可以将 RHACS 配置为自动扫描不活跃(未部署)镜像。

流程

  1. 在 RHACS 门户中,点 Vulnerability Management Workload CVEs
  2. 单击 Manage watched images
  3. Image name 字段中,输入以 registry 开头的完全限定镜像名称,并以镜像标签结尾,如 docker.io/library/nginx:latest
  4. 单击 Add image 以观察列表

  5. 可选: 要删除监视的镜像,请在 Manage watched images 窗口中找到镜像,然后单击 Remove watch

    重要

    在 RHACS 门户中,点 Platform Configuration System Configuration 查看数据保留配置。

    对于 System Configuration 页面中提到的天数,所有与从监视的镜像列表中删除的镜像相关的数据都会继续出现在 RHACS 门户中,仅在该周期过后删除。

  6. Close 返回 Workload CVEs 页面。
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat