2.2. Central
红帽管理 Central,即 RHACS 云服务的 control plane。这些服务包括以下组件:
- Central : Central 是 RHACS 应用程序管理界面和服务。它处理 API 交互和用户界面 (RHACS Portal) 访问。
- Central DB : Central DB 是 RHACS 的数据库,并处理所有数据持久性。它目前基于 PostgreSQL 13。
- scanner V4 (技术预览):从版本 4.4 开始,RHACS 包含扫描程序 V4 漏洞扫描程序来扫描容器镜像。扫描程序 V4 基于 ClairCore 构建,同时还支持 Clair 扫描程序。scanner V4 包括 Indexer、Matcher 和 Scanner V4 DB 组件,它们用于扫描。
- stackrox Scanner: StackRox Scanner 是 RHACS 中的默认扫描程序。StackRox 扫描程序源自 Clair v2 开源扫描程序的分叉。
- scanner-DB :此数据库包含 StackRox Scanner 的数据。
RHACS 扫描程序会分析每个镜像层,以确定基础操作系统,并确定操作系统软件包管理器安装的编程语言软件包和软件包。它们与来自各种漏洞来源的已知漏洞匹配。另外,StackRox Scanner 会识别节点的操作系统和平台中的漏洞。这些功能计划在以后的版本中为 Scanner V4。
2.2.1. 漏洞源
RHACS 使用以下漏洞源:
- alpine 安全数据库
- Amazon Linux 安全中心跟踪的数据
- Debian 安全跟踪器
- Oracle OVAL
- Photon OVAL
- Red Hat OVAL
- Red Hat CVE Map :这用于 Red Hat Container Catalog 中显示的镜像。
- SUSE OVAL
- Ubuntu OVAL
OSV :这用于与语言相关的漏洞,如 Go、Java、Node.js (JavaScript)、Python 和 Ruby。这个源可能会为漏洞提供 GitHub 安全公告(GHSA) ID 而不是 CVE 号。
注意RHACS Scanner V4 使用此许可证的 OSV.dev 上可用的 OSV 数据库。https://github.com/google/osv.dev/blob/master/LICENSE
NVD :这用于各种目的,如在供应商不提供信息时填补信息差距。例如,Alpine 不提供描述、CVSS 分数、严重性或发布日期。
注意此产品使用 NVD API,但不由 NVD 结束或认证。
- stackrox: 上游 StackRox 项目维护一组漏洞,这些漏洞可能会因为来自其他源的数据格式或数据不存在而被发现。
Scanner V4 Indexer 使用以下源:
- repository-to-cpe.json :将 RPM 存储库映射到其相关的 cps,这是匹配基于 RHEL 的镜像的漏洞所必需的。
- container-name-repos-map.json :这与提供它们的存储库匹配。