第 4 章 执行漏洞扫描和验证

流程

1. 从 Red Hat Container Registry 中拉取所需的认证测试容器镜像。

   注意

   认证标准由红帽产品安全团队和 Red Hat Partner Connect 团队定义。

2. 验证拉取的镜像是否与指定的摘要匹配，以确保您使用正确的认证版本。
3. 使用合作伙伴安全产品扫描测试利用镜像，而无需手动修改或调整扫描输出。
4. 以机器可读格式生成漏洞扫描报告，最好是 CSV。报告必须反映实际的产品行为，并包括所有漏洞和相关组件元数据。

5. 确保报告包括每个识别的漏洞的以下信息：

   • CVE 标识符
   • 红帽软件包名称和版本（如果适用，带有向后移植修复信息）
   • 红帽安全影响评级(Critical、重要、中度、低)
   • 红帽状态(Fixed、Affected 或 Not-Affected)和 RHSA 引用（如果修复）
6. 通过您的认证问题单向红帽认证团队提交完整的漏洞扫描报告。
7. 红帽认证团队将审查提交的结果，以确保它们满足基准准确性和格式要求。自提交之日起，审阅过程可能需要两到 6 周时间。
8. 成功验证后，红帽为您的扫描程序产品提供认证。