8.3. 将存储库映射到通用产品枚举信息
注意
目前,IBM Power 和 IBM Z 不支持将软件仓库映射到通用产品枚举信息。
Clair 的 Red Hat Enterprise Linux (RHEL)扫描程序依赖于通用产品枚举(CPE)文件,将 RPM 软件包映射到对应的安全数据,以生成匹配的结果。这些文件归产品安全所有,每天更新。
必须允许 cpe 文件或访问该文件,以便扫描程序能够正确处理 RPM 软件包。如果文件不存在,则不会扫描容器镜像中安装的 RPM 软件包。
CPE | 到 JSON 映射文件的链接 |
---|---|
| |
|
除了将 CVE 信息上传到用于断开连接的 Clair 安装的数据库外,还必须在本地提供映射文件:
- 对于独立的 Red Hat Quay 和 Clair 部署,映射文件必须加载到 Clair pod 中。
-
对于 OpenShift Container Platform 部署的 Red Hat Quay,您必须将 Clair 组件设置为
unmanaged
。然后,必须手动部署 Clair,设置配置来加载映射文件的本地副本。
8.3.1. 将存储库映射到通用产品枚举示例配置
在 Clair 配置中使用 repo2cpe_mapping_file
和 name2repos_mapping_file
字段,使其包含 cp JSON 映射文件。例如:
indexer: scanner: repo: rhel-repository-scanner: repo2cpe_mapping_file: /data/cpe-map.json package: rhel_containerscanner: name2repos_mapping_file: /data/repo-map.json
如需更多信息,请参阅如何准确将 OVAL 安全数据与已安装的 RPM 匹配。