3.2. Central

此源用于发行版本 4.6 及更新的版本。此源以 漏洞利用性 eXchange (VEX)格式提供漏洞数据。RHACS 利用 VEX 优势来显著减少初始加载漏洞数据所需的时间，以及存储漏洞数据所需的空间。VEX 还比 OVAL 提供更高的准确性。

当使用 OVAL 版本（如 RHACS 版本 4.5）和使用 VEX 版本（如版本 4.6）的 RHACS 版本扫描时，RHACS 可能会列出不同的漏洞数。例如，当这些漏洞包含在之前使用 OVAL 数据的版本中，RHACS 不再显示状态为 "under investigation" 的漏洞。

对于来自红帽生态系统目录的容器上的容器，RHACS 提供了一个选项，用于只显示红帽 VEX 数据的漏洞。红帽镜像的 VEX 数据是最准确的，因为红帽安全团队对这些镜像中的漏洞进行了审查，并报告了 VEX 的结果。其他安全漏洞源（如 OSV）可能会报告红帽已确定的漏洞不适用于镜像。这可能会在漏洞结果中造成假的正状态。启用该设置，使其只为红帽镜像使用 VEX 数据，可最大程度降低这些误报。

默认情况下，禁用将 VEX 数据用于红帽容器的选项。要启用这个选项，在 Scanner V4 Matcher 中，将环境变量 ROX_SCANNER_V4_RED_HAT_RED_HAT_VULNS_ONLY 设置为 true。请注意，在个别情况下，使用这个选项可能会导致扫描结果中没有出现有效的漏洞，或假的负状态。例如，红帽不会跟踪已结束生命周期的产品的漏洞。另请注意，红帽的 VEX 数据对许多 中间件产品缺少准确的安全数据。

有关红帽安全数据的更多信息，包括关于使用 OVAL、通用安全公告框架 2.0 (CSAF)和 VEX 的信息，请参阅 红帽安全数据的未来。

这用于与语言相关的漏洞，如 Go、Java、Java、Java、Python 和 Ruby。此源可能会提供 CVE ID 以外的漏洞 ID，如 GitHub 安全公告(GHSA) ID。

这用于各种目的，如在供应商不提供信息时填补信息差距。例如，Alpine 不提供描述、CVSS 分数、严重性或发布日期。

扫描程序 V4 索引器使用以下文件来索引红帽容器：