10장. 취약점에 대한 이미지 검사
Red Hat Advanced Cluster Security for Kubernetes를 사용하면 취약점 이미지를 분석할 수 있습니다. 스캐너는 모든 이미지 계층을 분석하여 알려진 취약점을 확인하고 CVE(Common Vulnerabilities and Exposures) 목록과 비교합니다.
Scanner에서 취약점을 발견하면 다음을 수행합니다.
scanner는 이미지를 검사하고 이미지에 있는 파일을 기반으로 설치된 구성 요소를 식별합니다. 다음 파일을 제거하기 위해 최종 이미지가 수정되면 설치된 구성 요소 또는 취약점을 확인하지 못할 수 있습니다.
| components | Files |
|---|---|
| 패키지 관리자 |
|
| 언어 수준 종속 항목 |
|
| 애플리케이션 수준 종속 항목 |
|
10.1. 이미지 스캔
중앙에서 이미지 스캔 요청을 Scanner에 제출합니다. 이러한 요청을 수신하면 scanner는 관련 레지스트리에서 이미지 계층을 가져와서 이미지를 확인하고 각 계층에 설치된 패키지를 식별합니다. 그런 다음 확인된 패키지와 프로그래밍 언어 관련 종속성을 취약점 목록과 비교하고 다시 중앙으로 정보를 보냅니다.
Red Hat Advanced Cluster Security for Kubernetes를 다른 취약점 스캐너와 통합할 수도 있습니다.
scanner는 다음의 취약점을 식별합니다.
- 기본 이미지 운영 체제
- 패키지 관리자가 설치한 패키지
- 언어별 종속 항목 프로그래밍
- 프로그래밍 런타임 및 프레임워크
일반적인 Scanner 경고 메시지 이해 및 해결
RHACS(Red Hat Advanced Cluster Security for Kubernetes)를 사용하여 이미지를 스캔하면 CVE DATA MAY BE INACCURATE 경고 메시지가 표시될 수 있습니다. scanner는 이미지의 운영 체제 또는 기타 패키지에 대한 전체 정보를 검색할 수 없는 경우 이 메시지를 표시합니다.
다음 표에서는 몇 가지 일반적인 스캐너 경고 메시지를 보여줍니다.
표 10.1. 경고 메시지
| 메시지 | 설명 |
|---|---|
|
| scanner가 이미지의 기본 운영 체제를 공식적으로 지원하지 않으므로 운영 체제 수준 패키지의 CVE 데이터를 검색할 수 없음을 나타냅니다. |
|
| 이미지의 기본 운영 체제가 수명 종료에 도달했으며 이로 인해 취약점 데이터가 오래되었음을 나타냅니다. 예를 들어, Debian 8 및 9입니다. 이미지의 구성 요소를 식별하는 데 필요한 파일에 대한 자세한 내용은 취약점 검사를 참조하십시오. |
|
| scanner가 이미지를 스캔했지만 이미지에 사용된 기본 운영 체제를 확인할 수 없음을 나타냅니다. |
|
|
네트워크에서 대상 레지스트리에 연결할 수 없음을 나타냅니다. 이 문제의 원인은 근본 원인을 분석하려면 프라이빗 레지스트리 또는 리포지토리에 대한 특수 레지스트리 통합을 생성하여 RHACS Central의 포드 로그를 가져옵니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 이미지 레지스트리와 통합을 참조하십시오. |
|
| 스캐너가 이미지를 스캔했지만 이미지가 오래되어 Red Hat 스캐너 인증 범위 내에 속하지 않음을 나타냅니다. 자세한 내용은 Red Hat Vulnerability Scanner Certification의 파트너 가이드를 참조하십시오. 중요 Red Hat 컨테이너 이미지를 사용하는 경우 2020년 6월 이후의 기본 이미지를 사용하는 것이 좋습니다. |
지원되는 패키지 형식
scanner는 다음 패키지 형식을 사용하는 이미지의 취약점을 확인할 수 있습니다.
- yum
- microdnf
- apt
- apkk
- dpkg
- RPM
지원되는 프로그래밍 언어
scanner는 다음 프로그래밍 언어의 종속성에서 취약점을 확인할 수 있습니다.
- Java
- JavaScript
- Python
- Ruby
지원되는 런타임 및 프레임워크
Red Hat Advanced Cluster Security for Kubernetes 3.0.50 (Scanner 버전 2.5.0)부터 scanner는 다음 개발자 플랫폼의 취약점을 식별합니다.
- .NET Core
- ASP.NET Core
지원되는 운영 체제
이 섹션에 나열된 지원되는 플랫폼은 스캐너가 취약점을 식별하는 배포판이며, Kubernetes용 Red Hat Advanced Cluster Security를 설치할 수 있는 지원되는 플랫폼과 다릅니다.
scanner는 다음 Linux 배포판이 포함된 이미지의 취약점을 식별합니다.
| 콘텐츠 배포 | 버전 |
|---|---|
|
| |
|
| |
|
| |
|
| |
|
| |
|
|
- Fedora는 취약점 데이터베이스를 유지 관리하지 않기 때문에 Fedora 운영 체제를 지원하지 않습니다. 그러나 스캐너는 여전히 Fedora 기반 이미지의 언어별 취약점을 탐지합니다.
scanner는 다음 이미지에서 취약점도 식별합니다. 그러나 취약점 소스는 공급 업체에 의해 더 이상 업데이트되지 않습니다.