8.3. 将软件仓库映射到通用产品枚举信息
注意
目前,IBM Power 和 IBM Z 不支持将软件仓库映射到通用产品枚举信息。
Clair 的 Red Hat Enterprise Linux (RHEL)扫描程序依赖于通用产品枚举(CPE)文件将 RPM 软件包映射到对应的安全数据,以生成匹配的结果。这些文件归产品安全性及每日更新。
必须存在 cp 文件,或者必须允许访问该文件,以便扫描程序正确处理 RPM 软件包。如果文件不存在,则不会扫描容器镜像中安装的 RPM 软件包。
CPE | JSON 映射文件的链接 |
---|---|
| |
|
除了将 CVE 信息上传到断开连接的 Clair 安装的数据库外,还必须在本地提供映射文件:
- 对于独立的 Red Hat Quay 和 Clair 部署,必须将映射文件加载到 Clair pod。
-
对于 OpenShift Container Platform 部署的 Red Hat Quay,您必须将 Clair 组件设置为
unmanaged
。然后,必须手动部署 Clair,将配置设置为加载映射文件的本地副本。
8.3.1. 将软件仓库映射到通用产品枚举示例配置
使用 Clair 配置中的 repo2cpe_mapping_file
和 name2repos_mapping_file
字段,使其包含 CPE JSON 映射文件。例如:
indexer: scanner: repo: rhel-repository-scanner: repo2cpe_mapping_file: /data/cpe-map.json package: rhel_containerscanner: name2repos_mapping_file: /data/repo-map.json
如需更多信息,请参阅如何准确匹配 OVAL 安全数据以安装 RPM。