第 8 章 检查漏洞的镜像
通过 Red Hat Advanced Cluster Security for Kubernetes,您可以分析漏洞的镜像。扫描程序将所有镜像层与常见漏洞和暴露(CVE)列表进行比较,以检查已知的漏洞。
当 Scanner 发现任何漏洞时,它会:
扫描程序检查镜像,并根据镜像中的文件来识别已安装的组件。如果修改最终镜像以删除以下文件,则可能无法识别已安装的组件或漏洞:
组件 | 文件 |
---|---|
软件包管理器 |
|
语言级依赖项 |
|
应用程序级别的依赖项 |
|
8.1. 扫描镜像
中央将镜像扫描请求提交给扫描器。在收到这些请求后,Scanner 从相关 registry 中拉取镜像层,检查镜像,并确定每个层中安装的软件包。然后,它会将识别的软件包和特定于编程语言的依赖关系与漏洞列表进行比较,并将信息发回到 Central。
您还可以将 Red Hat Advanced Cluster Security for Kubernetes 与另一个漏洞扫描程序集成。
扫描程序标识以下漏洞:
- 基础镜像操作系统
- 软件包管理器安装的软件包
- 特定于编程语言的依赖关系
- 编程运行时和框架
支持的软件包格式
扫描程序可在使用以下软件包格式的镜像中检查漏洞:
- yum
- microdnf
- apt
- apk
- dpkg
- RPM
支持的编程语言
扫描程序可检查以下编程语言的依赖关系的漏洞:
- Java
- JavaScript
- Python
- Ruby
支持的运行时和框架
从 Red Hat Advanced Cluster Security for Kubernetes 3.0.50 开始(Scanner 版本 2.5.0),Scanner 标识以下开发人员平台中的漏洞:
- .NET Core
- ASP.NET Core
支持的操作系统
本节中列出的受支持平台是 Scanner 识别漏洞的发行版本,它与您可以安装 Red Hat Advanced Cluster Security for Kubernetes 支持的平台不同。
扫描程序识别镜像中包含以下 Linux 发行版的漏洞:
分发 | 版本 |
---|---|
| |
| |
| |
| |
| |
|
- 扫描程序不支持 Fedora 操作系统,因为 Fedora 不支持维护漏洞数据库。但是,扫描器仍然会检测基于 Fedora 的镜像中的特定于语言的漏洞。
扫描程序还会识别以下镜像中的漏洞。但是,漏洞源不再被其厂商更新: