8장. 취약점에 대한 이미지 검사

Red Hat Advanced Cluster Security for Kubernetes를 사용하면 이미지의 취약점을 분석할 수 있습니다. 스캐너는 모든 이미지 계층을 분석하여 CVE(Common Vulnerabilities and Exposures) 목록과 비교하여 알려진 취약점을 확인합니다.

스캐너에서 취약점을 발견하면 다음을 수행합니다.

  • 자세한 분석을 위해 취약점 관리 보기에서 해당 항목을 표시합니다.
  • 위험에 따라 취약점을 평가하고 RHACS 포털에서 위험 평가를 위해 강조 표시합니다.
  • 활성화된 보안 정책에 대해 확인합니다.

스캐너는 이미지를 검사하고 이미지의 파일을 기반으로 설치된 구성 요소를 식별합니다. 최종 이미지가 다음 파일을 제거하도록 수정된 경우 설치된 구성 요소 또는 취약점을 식별하지 못할 수 있습니다.

componentsFiles

패키지 관리자

  • /etc/alpine-release
  • /etc/apt/sources.list
  • /etc/lsb-release
  • /etc/os-release or /usr/lib/os-release
  • /etc/oracle-release,/etc/centos-release,/etc/redhat-release, 또는 /etc/system-release
  • 기타 유사한 시스템 파일.

언어 수준 종속 항목

  • JavaScript용 package.json.
  • Python의 Dist -info 또는 eggs-info.
  • Java용 MANIFEST.MF (JAR)입니다.

애플리케이션 수준 종속 항목

  • dotnet/shared/Microsoft.AspNetCore.App/
  • dotnet/shared/Microsoft.NETCore.App/

8.1. 이미지 스캔

중앙에서 스캐너에 이미지 스캔 요청을 제출합니다. 이러한 요청을 수신하면 스캐너는 관련 레지스트리에서 이미지 계층을 가져와서 이미지를 확인하고, 각 계층에 설치된 패키지를 식별합니다. 그런 다음 식별된 패키지 및 프로그래밍 언어별 종속성을 취약점 목록과 비교하고 정보를 중앙에 보냅니다.

Red Hat Advanced Cluster Security for Kubernetes를 다른 취약점 스캐너와 통합할 수도 있습니다.

스캐너는 다음 취약점을 확인합니다.

  • 기본 이미지 운영 체제
  • 패키지 관리자가 설치한 패키지
  • 프로그래밍 언어별 종속성
  • 프로그래밍 런타임 및 프레임워크

지원되는 패키지 형식

스캐너는 다음 패키지 형식을 사용하는 이미지의 취약점을 확인할 수 있습니다.

  • yum
  • microdnf
  • apt
  • APK
  • dpkg
  • rpm

지원되는 프로그래밍 언어

스캐너는 다음과 같은 프로그래밍 언어의 보안 취약점을 확인할 수 있습니다.

  • Java
  • JavaScript
  • Python
  • Ruby

지원되는 런타임 및 프레임워크

Red Hat Advanced Cluster Security for Kubernetes 3.0.50(Scanner 버전 2.5.0)부터 스캐너는 다음 개발자 플랫폼의 취약점을 확인합니다.

  • .NET Core
  • ASP.NET Core

지원되는 운영 체제

이 섹션에 나열된 지원되는 플랫폼은 스캐너가 취약점을 식별하는 배포판이며, Red Hat Advanced Cluster Security for Kubernetes를 설치할 수 있는 지원되는 플랫폼과 다릅니다.

스캐너는 다음 Linux 배포판이 포함된 이미지의 취약점을 식별합니다.

콘텐츠 배포버전

Alpine Linux

Alpine :v3.2,alpine:v3.3,alpine:v3.4,alpine:v 3.5,alpine:v3.7,alpine:v3.8, Alpine :v3.9,alpine:v3.10,alpine:v3.11,alpine:v3.12,alpine:v3.13,alpine:v3.14edge

Amazon Linux

amzn:2018.03, amzn:2

CentOS

centos:6, centos:7, centos:8

Debian

debian:9, debian:10, debian:11, debian:unstable

Red Hat Enterprise Linux (RHEL)

rhel:6, rhel:7, rhel:8

Ubuntu

Ubuntu:14.04,ubuntu:16.0 4,ubuntu:18.04,ubuntu:20.04,ubuntu:21.10,ubuntu:22.04

참고
  • Fedora는 취약점 데이터베이스를 유지 관리하지 않기 때문에 스캐너는 Fedora 운영 체제를 지원하지 않습니다. 그러나 스캐너는 여전히 Fedora 기반 이미지의 언어별 취약점을 감지합니다.
  • 스캐너는 다음 이미지의 취약점도 식별합니다. 그러나 공급 업체에 의해 취약점 소스는 더 이상 업데이트되지 않습니다.

    콘텐츠 배포버전

    Debian

    debian:8

    Ubuntu

    Ubuntu:12.04,ubuntu:13.04,ubuntu:14.10,ubuntu:15.04,ubuntu::15.10, ubuntu::16.10,ubuntu::16.10 Ubuntu:17.0 4,ubuntu:17. 10,ubuntu:18.10,ubuntu:19.04,ubuntu:19.10,ubuntu:20.10,ubuntu:21.04