Triage 报告 Red Hat Containers 中的漏洞差异
Issue
不论第三方漏洞扫描器是否 使用红帽进行了认证,扫描结果可能仍然会包含差异,并导致对非操作系统软件包(如 Java JAR、nodejs 和 python 软件包)的误报。已选为不实施识别哪些文件来自红帽的 rpm cli 的第三方扫描程序将无法准确识别 RPM 文件,因为红帽打补丁版本信息可能不会在软件包中提供。
例如,红帽 RPM 部署的 Java .jar 可能在 .jar 文件名或 MANIFEST.MF 文件中没有正确的红帽版本控制字符串。同样,nodejs 软件包可能在其关联的 package.json 文件中没有正确的补丁版本。
使用 RPM 是推荐的方法,来准确识别 Red Hat 容器中的任何文件是否已被 RPM 部署。
Environment
任何基于 Red Hat Enterprise Linux (RHEL) 7 或 8 的容器,包括部署非 OS 类型软件包(如 java、nodejs 和 python)的通用基础映像(UBI)容器。
Subscriber exclusive content
A Red Hat subscription provides unlimited access to our knowledgebase, tools, and much more.
