第 13 章检查镜像是否有漏洞

使用 Red Hat Advanced Cluster Security for Kubernetes，您可以使用 RHACS 扫描程序分析镜像漏洞，也可以配置集成以使用另一个支持的扫描程序。

RHACS 中的扫描程序会分析每个镜像层，以查找软件包，并通过将软件包与从不同源填充的漏洞数据库进行比较来与已知的漏洞匹配。根据所使用的扫描程序，源包括国家漏洞数据库(NVD)、开源漏洞(OSV)数据库和操作系统漏洞源。

注意

RHACS 扫描器 V4 使用位于 OSV.dev 中的 Apache License 2.0 下的 OSV 数据库。

RHACS 包含两个扫描程序： StackRox Scanner 和 Scanner V4。

StackRox Scanner 源自 Clair v2 开源扫描程序的分叉，是默认的扫描程序。在版本 4.4 中，RHACS 引入了基于 ClairCore 构建的 Scanner V4，它提供了额外的镜像扫描功能。

注意

本文档使用术语 "RHACS scanner" 或 "Scanner" 来引用两个扫描程序提供的合并扫描功能： StackRox Scanner 和 Scanner V4。当引用特定扫描程序的功能时，会使用特定扫描程序的名称。

当 RHACS 扫描程序发现任何漏洞时，它会执行以下操作：

RHACS 扫描程序检查镜像，并根据镜像中的文件标识已安装的组件。如果修改了最终镜像来删除以下文件，则可能无法识别已安装的组件或漏洞：

组件	文件
软件包管理器	`/etc/alpine-release` `/etc/lsb-release` `/etc/os-release` 或 `/usr/lib/os-release` `/etc/oracle-release`,`/etc/centos-release`,`/etc/redhat-release`, 或 `/etc/system-release` 其他类似的系统文件。
语言级依赖项	JavaScript 的 `package.json`。 `dist-info` 或 Python 的 `egg-info`。 `MANIFEST.MF` in Java Archive (JAR) for Java.
应用程序级别的依赖项	`dotnet/shared/Microsoft.AspNetCore.App/` `dotnet/shared/Microsoft.NETCore.App/`

13.1. 关于 RHACS 扫描程序 V4

RHACS 提供自己的扫描程序，也可以配置集成以将 RHACS 与另一个漏洞扫描程序搭配使用。

从版本 4.4 开始，Scanner V4 基于 ClairCore 构建，为语言和特定于操作系统的镜像组件提供扫描。目前，RHACS 还使用 StackRox Scanner。要继续获得对最新功能的完全扫描支持，需要使用两个扫描程序。

注意

从版本 4.6 开始，因为使用漏洞源的变化，Scanner V4 只考虑影响到 2014 年的红帽产品的漏洞。在以前的版本中，当读取红帽的 OVAL 数据时，在 2000 年前，漏洞会追溯到。

返回顶部