8장. 취약점에 대한 이미지 검사
Red Hat Advanced Cluster Security for Kubernetes를 사용하면 이미지의 취약점을 분석할 수 있습니다. 스캐너는 모든 이미지 계층을 분석하여 CVE(Common Vulnerabilities and Exposures) 목록과 비교하여 알려진 취약점을 확인합니다.
스캐너에서 취약점을 발견하면 다음을 수행합니다.
스캐너는 이미지를 검사하고 이미지의 파일을 기반으로 설치된 구성 요소를 식별합니다. 최종 이미지가 다음 파일을 제거하도록 수정된 경우 설치된 구성 요소 또는 취약점을 식별하지 못할 수 있습니다.
| components | Files |
|---|---|
| 패키지 관리자 |
|
| 언어 수준 종속 항목 |
|
| 애플리케이션 수준 종속 항목 |
|
8.1. 이미지 스캔
중앙에서 스캐너에 이미지 스캔 요청을 제출합니다. 이러한 요청을 수신하면 스캐너는 관련 레지스트리에서 이미지 계층을 가져와서 이미지를 확인하고, 각 계층에 설치된 패키지를 식별합니다. 그런 다음 식별된 패키지 및 프로그래밍 언어별 종속성을 취약점 목록과 비교하고 정보를 중앙에 보냅니다.
Red Hat Advanced Cluster Security for Kubernetes를 다른 취약점 스캐너와 통합할 수도 있습니다.
스캐너는 다음 취약점을 확인합니다.
- 기본 이미지 운영 체제
- 패키지 관리자가 설치한 패키지
- 프로그래밍 언어별 종속성
- 프로그래밍 런타임 및 프레임워크
지원되는 패키지 형식
스캐너는 다음 패키지 형식을 사용하는 이미지의 취약점을 확인할 수 있습니다.
- yum
- microdnf
- apt
- APK
- dpkg
- rpm
지원되는 프로그래밍 언어
스캐너는 다음과 같은 프로그래밍 언어의 보안 취약점을 확인할 수 있습니다.
- Java
- JavaScript
- Python
- Ruby
지원되는 런타임 및 프레임워크
Red Hat Advanced Cluster Security for Kubernetes 3.0.50(Scanner 버전 2.5.0)부터 스캐너는 다음 개발자 플랫폼의 취약점을 확인합니다.
- .NET Core
- ASP.NET Core
지원되는 운영 체제
이 섹션에 나열된 지원되는 플랫폼은 스캐너가 취약점을 식별하는 배포판이며, Red Hat Advanced Cluster Security for Kubernetes를 설치할 수 있는 지원되는 플랫폼과 다릅니다.
스캐너는 다음 Linux 배포판이 포함된 이미지의 취약점을 식별합니다.
| 콘텐츠 배포 | 버전 |
|---|---|
|
Alpine | |
|
| |
|
| |
|
| |
|
| |
|
|
- Fedora는 취약점 데이터베이스를 유지 관리하지 않기 때문에 스캐너는 Fedora 운영 체제를 지원하지 않습니다. 그러나 스캐너는 여전히 Fedora 기반 이미지의 언어별 취약점을 감지합니다.
스캐너는 다음 이미지의 취약점도 식별합니다. 그러나 공급 업체에 의해 취약점 소스는 더 이상 업데이트되지 않습니다.