8.5. 취약점 점수 이해
RHACS 포털에서는 각 취약점에 대한 단일 CVSS(Common Vulnerability Scoring System) 기본 점수를 보여줍니다. Red Hat Advanced Cluster Security for Kubernetes는 다음 기준에 따라 CVSS 점수를 보여줍니다.
CVSS v3 점수를 사용할 수 있는 경우 Red Hat Advanced Cluster Security for Kubernetes에 점수가 표시되고
v3목록이 표시됩니다. 예를 들면6.5(v3)입니다.참고CVSS v3 점수는 스캐너 버전 1.3.5 이상을 사용하는 경우에만 사용할 수 있습니다.
-
CVSS v3 점수를 사용할 수 없는 경우 Red Hat Advanced Cluster Security for Kubernetes는 CVSS v2 점수만 표시합니다. 예를 들어
6.5.
API를 사용하여 CVSS 점수를 가져올 수 있습니다. CVE(Common Vulnerabilities and Exposures)에 CVSS v3 정보를 사용할 수 있는 경우 응답에 CVSS v3 및 CVSS v2 정보가 포함됩니다.
일부 CVE의 경우 Red Hat 보안 권고 (RHSA) CVSS 점수는 RHACS 포털에 표시되는 CVSS 점수와 다를 수 있습니다. 이러한 차이점은 하나의 RHSA에 여러 CVE가 포함될 수 있고 Red Hat은 다른 Red Hat 제품에 취약점이 미치는 방식에 따라 다른 점수를 할당하기 때문입니다.
이러한 경우 Kubernetes용 Red Hat Advanced Cluster Security:
- NVD(National Vulnerability Database)에서 가장 높은 CVE를 찾고 해당 점수를 RHSA의 CVSS 점수로 표시합니다.
- RHSA의 각 CVE를 NVD에서 원래 CVSS 점수와 함께 별도의 취약점으로 분리하여 각 CVE를 확인하고 특정 CVE에 대한 정책을 생성할 수 있습니다.