第 12 章检查漏洞的镜像

使用 Red Hat Advanced Cluster Security for Kubernetes，您可以使用 RHACS 扫描程序分析镜像漏洞，也可以配置集成以使用另一个支持的扫描程序。

RHACS 中的扫描程序通过分析每个镜像层来查找软件包并将其与已知漏洞匹配，方法是将它们与来自不同源填充的漏洞数据库进行比较。根据使用的扫描程序，源包括国家漏洞数据库(NVD)、开源漏洞(OSV)数据库和操作系统漏洞源。

注意

RHACS Scanner V4 使用此许可证的 OSV.dev 上可用的 OSV 数据库。https://github.com/google/osv.dev/blob/master/LICENSE

RHACS 包含两个扫描程序： StackRox Scanner 和 Scanner V4。

StackRox 扫描程序源自 Clair v2 开源扫描程序的分叉，是默认的扫描程序。在版本 4.4 中，RHACS 引入了 Scanner V4，基于 ClairCore 构建，它提供额外的镜像扫描功能。

注意

本文档使用术语 "RHACS scanner" 或 "Scanner" 来参考两个扫描程序提供的组合扫描功能： StackRox Scanner 和 Scanner V4。当引用特定扫描程序的功能时，会使用特定扫描程序的名称。

当 RHACS 扫描程序发现任何漏洞时，它会执行以下操作：

RHACS 扫描程序检查镜像，并根据镜像中的文件识别已安装的组件。如果修改了最终镜像来删除以下文件，则可能无法识别已安装的组件或漏洞：

Expand

组件	文件
软件包管理器	`/etc/alpine-release` `/etc/apt/sources.list` `/etc/lsb-release` `/etc/os-release` 或 `/usr/lib/os-release` `/etc/oracle-release`,`/etc/centos-release`,`/etc/redhat-release`, 或 `/etc/system-release` 其他类似的系统文件。
语言级依赖项	`package.json` 用于 JavaScript. 用于 Python 的 `dist-info` 或 `egg-info`。 Java 存档(JAR)中的 `MANIFEST.MF` 用于 Java。
应用程序级别的依赖项	`dotnet/shared/Microsoft.AspNetCore.App/` `dotnet/shared/Microsoft.NETCore.App/`

12.1. 关于 RHACS 扫描程序 V4
复制链接

RHACS 提供自己的扫描程序，或者您可以将集成配置为将 RHACS 与其他漏洞扫描程序一起使用。

从版本 4.4 开始，Scanner V4 基于 ClairCore 构建，为语言和特定于操作系统的镜像组件提供扫描。对于版本 4.4，RHACS 还使用 StackRox Scanner 提供一些扫描功能，直到功能在以后的发行版本中实现为止。

返回顶部