Red Hat Container Catalog で使用する Container Health Index の格付け

Red Hat は Container Health Index を使用して、Red Hat が Red Hat Ecosystem Catalog を通じて提供するコンテナーのセキュリティーリスクを特定します。これらのコンテナーは、Red Hat とエラータプロセスによって提供されるソフトウェアを使用するため、古いコンテナーイメージにセキュリティーリスクがある可能性は非常に高くなりますが、新しいコンテナーのセキュリティーリスクの可能性は低くなります。

これを説明するために、格付けシステムを使用します。 格付けを決定するための基準は、コンテナーイメージに該当する最も古い欠陥の年月と重大度 (重大または重要と評価) に基づいています。 年月を問わず、重大度が中程度または低度の欠陥は、Container Health Index に影響を及ぼすことはありません。

以下の格付けとアイコンを使用しています。算出方法についても簡単に説明しています。

格付け A: このイメージには、重大または重要な欠陥を修正する既知のエラータで、適用されていないものはありません。

格付け B: このイメージには、重大または重要なセキュリティーエラータがない可能性がありますが、ない場合でも、重大な欠陥は 7 日以内、重要な欠陥は 30 日以内のものになります。

格付け C: このイメージには、重大または重要なセキュリティーエラータがない可能性がありますが、ない場合でも、重大な欠陥は 30 日以内、重要な欠陥は 90 日以内のものになります。

格付け D: このイメージには、重大または重要なセキュリティーエラータがない可能性がありますが、ない場合でも、重大な欠陥は 90 日以内、重要な欠陥は 365 日以内のものになります。

格付け E: このイメージには、重大または重要なセキュリティーエラータがない可能性がありますが、ない場合でも、重大または重要な欠陥は 365 日以内のものになります。

格付け F: このイメージには、重大または重要なセキュリティーエラータがない可能性があり、それらは 365 日を超過しています。 または、コンテナーのライフサイクルが終了しています。

格付け不明: Container Health Index の算出を実行するために必要なメタデータがないため、このイメージをスキャンできません。

影響度の評価に関する詳細は、https://access.redhat.com/ja/security/updates/classification を参照してください。 Container Health Index で使用される格付けの詳細は、製品セキュリティーブログの「Security Scoring and Grading for Containers and Images」を参照してください。