第 12 章检查漏洞的镜像

使用 Red Hat Advanced Cluster Security for Kubernetes，您可以使用 RHACS 扫描程序分析镜像以了解漏洞，或者您可以将集成配置为使用其他受支持的扫描程序。

RHACS 中的扫描程序通过分析每个镜像层来查找软件包并将其与已知漏洞匹配，方法是将它们与来自不同源填充的漏洞数据库进行比较。根据使用的扫描程序，源包括国家漏洞数据库(NVD)、开源漏洞(OSV)数据库和操作系统漏洞源。

注意

RHACS Scanner V4 使用此许可证的 OSV.dev 上可用的 OSV 数据库。https://github.com/google/osv.dev/blob/master/LICENSE

RHACS 包含两个扫描程序： StackRox Scanner 和 Scanner V4。

重要

扫描程序 V4 只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议（SLA）支持，且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能，并有机会在开发阶段提供反馈意见。

有关红帽技术预览功能支持范围的更多信息，请参阅技术预览功能支持范围。

StackRox 扫描程序源自 Clair v2 开源扫描程序的分叉，是默认的扫描程序。在版本 4.4 中，RHACS 引入了 Scanner V4，基于 ClairCore 构建，它提供额外的镜像扫描功能。

注意

本文档使用术语 "RHACS scanner" 或 "Scanner" 来参考两个扫描程序提供的组合扫描功能： StackRox Scanner 和 Scanner V4。当引用特定扫描程序的功能时，会使用特定扫描程序的名称。

当 RHACS 扫描程序发现任何漏洞时，它会执行以下操作：

RHACS 扫描程序检查镜像，并根据镜像中的文件识别已安装的组件。如果修改了最终镜像来删除以下文件，则可能无法识别已安装的组件或漏洞：

组件	文件
软件包管理器	`/etc/alpine-release` `/etc/apt/sources.list` `/etc/lsb-release` `/etc/os-release` 或 `/usr/lib/os-release` `/etc/oracle-release`,`/etc/centos-release`,`/etc/redhat-release`, 或 `/etc/system-release` 其他类似的系统文件。
语言级依赖项	`package.json` 用于 JavaScript. 用于 Python 的 `dist-info` 或 `egg-info`。 Java 存档(JAR)中的 `MANIFEST.MF` 用于 Java。
应用程序级别的依赖项	`dotnet/shared/Microsoft.AspNetCore.App/` `dotnet/shared/Microsoft.NETCore.App/`

12.1. 关于 RHACS Scanner V4 （技术预览）

RHACS 提供自己的扫描程序，或者您可以将集成配置为将 RHACS 与其他漏洞扫描程序一起使用。

从版本 4.4 开始，Scanner V4 基于 ClairCore 构建，为语言和特定于操作系统的镜像组件提供扫描。对于版本 4.4，RHACS 还使用 StackRox Scanner 提供一些扫描功能，直到功能在以后的发行版本中实现为止。

重要

有关红帽技术预览功能支持范围的更多信息，请参阅技术预览功能支持范围。

其他资源