第 13 章检查镜像是否有漏洞

使用 Red Hat Advanced Cluster Security for Kubernetes，您可以使用 RHACS 扫描程序 V4 分析镜像漏洞，或者您可以将集成配置为使用其他支持的扫描程序。

RHACS 扫描程序分析每个镜像层，通过比较软件包和从不同源填充的漏洞数据库来把软件包与已知漏洞匹配。这些来源包括红帽漏洞交换(VEX)、国家漏洞数据库(NVD)、开源漏洞(OSV)数据库和操作系统漏洞源。

注意

RHACS 使用 Apache License 2.0 下的 OSV 数据库，位于 OSV.dev 中。

RHACS 包含两个扫描程序：Scanner V4 和 StackRox Scanner。

从版本 4.8 开始，扫描程序 V4 基于 Claircore 构建，是默认扫描程序。StackRox Scanner 源自 Clair v2 开源扫描程序的分叉，它已被弃用。

注意

当本文档使用术语 "RHACS scanner" 或 "Scanner" 时，它指的是 Scanner V4。

当 RHACS 扫描程序发现任何漏洞时，它会执行以下操作：

RHACS 扫描程序检查镜像，并根据镜像中的文件标识已安装的组件。如果修改了最终镜像来删除以下文件，则可能无法识别已安装的组件或漏洞：

Expand

组件	文件
软件包管理器	`/etc/alpine-release` `/etc/lsb-release` `/etc/os-release` 或 `/usr/lib/os-release` `/etc/oracle-release`,`/etc/centos-release`,`/etc/redhat-release`, 或 `/etc/system-release` 其他类似的系统文件。
语言级依赖项	JavaScript 的 `package.json`。 `dist-info` 或 Python 的 `egg-info`。 `MANIFEST.MF` in Java Archive (JAR) for Java.
应用程序级别的依赖项	`dotnet/shared/Microsoft.AspNetCore.App/` `dotnet/shared/Microsoft.NETCore.App/`

13.1. 关于 Scanner V4
复制链接

RHACS 提供自己的扫描程序、Scanner V4，或者您可以将集成配置为将 RHACS 与另一个漏洞扫描程序搭配使用。

Scanner V4 基于 Claircore 构建，为特定于语言和操作系统的镜像组件提供扫描，并扫描 Red Hat Enterprise Linux CoreOS (RHCOS)。

注意

从版本 4.6 开始，因为使用漏洞源的变化，Scanner V4 只考虑影响到 2014 年的红帽产品的漏洞。在以前的版本中，当读取红帽的 OVAL 数据时，在 2000 年前，漏洞会追溯到。

返回顶部