红帽全球峰会12.2. 扫描镜像
对于版本 4.4,RHACS 提供两个扫描程序: StackRox Scanner 和 Scanner V4。两个扫描程序都可以检查网络中连接的安全集群中的镜像。在使用 Operator 或使用委派扫描时,部署的 Red Hat OpenShift 环境中默认启用安全集群扫描。如需更多信息,请参阅"访问委派的镜像扫描"。
即使启用了 Scanner V4,仍必须启用 StackRox Scanner 来扫描 RHCOS 节点和平台漏洞,如 Red Hat OpenShift、Kubernetes 和 Istio。以后的发行版本中计划在 Scanner V4 中支持该功能。不要禁用 StackRox Scanner。
使用 StackRox Scanner 时,RHACS 执行以下操作:
- Central 将镜像扫描请求提交到 StackRox Scanner。
- 在收到这些请求时,StackRox Scanner 从相关 registry 中拉取镜像层,检查镜像,并识别每个层中安装的软件包。然后,它会将确定的软件包和特定于编程语言的依赖项与漏洞列表进行比较,并将信息发回到 Central
StackRox Scanner 标识以下区域中的漏洞:
- 基础镜像操作系统
- 软件包管理器安装的软件包
- 特定于编程语言的依赖项
- 编程运行时和框架
使用 Scanner V4 时,RHACS 执行以下操作:
- Central 请求 Scanner V4 Indexer 下载和索引(analyze)给定镜像。
- 扫描程序 V4 Indexer 从 registry 中拉取镜像元数据,以确定镜像的层,并下载之前未索引的层。
- 扫描程序 V4 Indexer 从 Central 请求映射文件,以帮助索引过程。扫描程序 V4 Indexer 在索引报告中生成。
- Central 请求 Scanner V4 Matcher 与给定镜像匹配到已知漏洞。这个过程会产生最终扫描结果:漏洞报告。扫描程序 V4 Matcher 从 Central 请求最新的漏洞。
- 扫描程序 V4 Matcher 从 Scanner V4 Indexer 请求镜像索引(索引报告)的结果。然后,它会使用报告来确定相关的漏洞。只有在 Central 集群中索引镜像时,才会发生此交互。当 Scanner V4 与安全集群中索引的镜像的漏洞匹配时,不会发生此交互。
- Indexer 在与索引结果相关的 Scanner V4 DB 中存储数据,以确保镜像层仅下载并索引一次。这可以防止不必要的网络流量和其他资源利用率。
- 启用安全集群扫描后,Sensor 会请求 Scanner V4 来索引镜像。扫描程序 V4 Indexer 从 Sensor 请求映射文件,以帮助索引过程,除非在同一命名空间中存在 Central。在这种情况下,会联系 Central。
12.2.1. 了解并解决常见的 Scanner 警告信息
当使用 Red Hat Advanced Cluster Security for Kubernetes (RHACS)扫描镜像时,您可能会看到 CVE DATA MAY BE INACCURATE 警告信息。当扫描程序无法检索有关操作系统或其他镜像中其他软件包的完整信息时,扫描程序会显示此消息。
下表显示了一些常见的 Scanner 警告信息:
| 消息 | 描述 |
|---|---|
|
| 表示 Scanner 不支持镜像的基本操作系统,因此无法检索操作系统级别的软件包的 CVE 数据。 |
|
| 表示镜像的基本操作系统已达到生命周期结束,这意味着漏洞数据已过时。例如,Debian 8 和 9。 有关识别镜像中组件所需的文件的更多信息,请参阅 检查漏洞的镜像。 |
|
| 表示 Scanner 会扫描镜像,但无法决定用于镜像的基本操作系统。 |
|
|
表示目标 registry 在网络上无法访问。原因可能是防火墙阻止 要分析根本原因,请为私有 registry 或存储库创建一个特殊的 registry 集成,以获取 RHACS Central 的 pod 日志。有关如何执行此操作的说明,请参阅 与镜像 registry 集成。 |
|
| 表示 Scanner 扫描了镜像,但镜像旧且没有在 Red Hat Scanner 认证范围内。如需更多信息,请参阅 红帽漏洞扫描程序认证合作伙伴指南。 重要 如果您使用红帽容器镜像,请考虑使用比 2020 年 6 月更新 的基础镜像。 |
12.2.2. 支持的操作系统
本节中列出的支持的平台是 Scanner 识别漏洞的发行版本,它与您可以安装 Red Hat Advanced Cluster Security for Kubernetes 的支持的平台不同。
扫描程序识别包含以下 Linux 发行版本的镜像中的漏洞。有关使用的漏洞数据库的更多信息,请参阅"RHACS 架构"中的"Vulnerability sources"。
| 分发 | 版本 |
|---|---|
|
| |
|
| |
| CentOS |
|
|
| |
|
| |
|
| |
|
| |
|
| |
|
以下漏洞源没有由 vendor:12.04 , |
- 仅在 StackRox Scanner 中支持。
- 仅在扫描器 V4 中支持。
- Scanner V4 不支持比 2020 年 6 月旧的镜像。
- 扫描程序不支持 Fedora 操作系统,因为 Fedora 不维护漏洞数据库。但是,Scanner 仍然检测基于 Fedora 的镜像中的特定语言漏洞。
12.2.3. 支持的软件包格式
扫描程序可以检查镜像中使用以下软件包格式的漏洞:
| 软件包格式 | 软件包管理器 |
|---|---|
| apk | apk |
| dpkg | apt, dpkg |
| rpm | dnf, microdnf, rpm, yum |
12.2.4. 支持的编程语言
扫描程序可以检查依赖项中的漏洞,以了解以下编程语言:
| 编程语言 | 软件包格式 |
|---|---|
| Go[1] | 二进制文件:用于构建二进制文件的标准库版本已被分析。如果使用模块支持(go.mod)构建二进制文件,则也会分析依赖项。 |
| Java | JAR, WAR, EAR, JPI, HPI |
| JavaScript | package.json |
| Python | egg、wheel |
| Ruby | gem |
- 仅在扫描器 V4 中支持。
12.2.5. 支持的层压缩格式
容器镜像层是可能压缩或解压缩的 .tar 文件存档。stackrox Scanner 和 Scanner V4 支持不同的格式,如下表所示:
| 格式 | stackrox Scanner 支持 | 扫描程序 V4 支持 |
|---|---|---|
| 没有压缩 | 是 | 是 |
| bzip2 | 是 | 是 |
| gzip | 是 | 是 |
| xz | 是 | 否 |
| zstd | 否 | 是 |
12.2.6. 支持的运行时和框架
从 Red Hat Advanced Cluster Security for Kubernetes 3.0.50 (Scanner 版本 2.5.0)开始,StackRox Scanner 识别以下开发人员平台中的漏洞:
- .NET Core
- ASP.NET Core
Scanner V4 不支持它们。
12.2.7. 将镜像拉取从源 registry 重定向到已镜像的 registry
Red Hat Advanced Cluster Security for Kubernetes (RHACS)支持使用以下 OpenShift Container Platform 自定义资源(CR)之一从您配置的 registry 镜像扫描镜像:
-
ImageContentSourcePolicy(ICSP) -
ImageDigestMirrorSet(IDMS) -
ImageTagMirrorSet(ITMS)
有关如何配置镜像 registry 存储库镜像的更多信息,请参阅"配置镜像 registry 存储库镜像"。
您可以使用委派的镜像扫描自动从 registry 镜像扫描镜像。
有关如何配置委托镜像扫描的更多信息,请参阅"使用安全集群扫描镜像"。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}