-
**名称**:镜像的名称。
-
**操作系统**:镜像的操作系统。
-
**标签**:镜像的标签。
-
**标签**:镜像的标签。
-
**注册表**:镜像所在的注册表。
×
查看和处理漏洞
常见的漏洞管理任务包括识别和优先处理漏洞、修复漏洞以及监控新的威胁。
以往,RHACS 在漏洞管理仪表盘中提供系统中发现的漏洞视图。此仪表盘在 RHACS 4.5 中已弃用,将在未来的版本中移除。
有关此仪表盘的更多信息,请参阅 使用漏洞管理仪表盘。
对跨镜像和部署的扫描到的 CVE 进行优先级排序和管理
通过查看**工作负载 CVE**页面,您可以获取有关系统中集群上运行的应用程序中漏洞的信息。您可以查看跨镜像和部署的漏洞信息。
**工作负载 CVE**页面提供比仪表盘更高级的过滤功能,包括查看包含漏洞的镜像和部署以及基于镜像、部署、命名空间、集群、CVE、组件和组件源进行过滤的功能。
步骤
-
在 RHACS 门户中,单击**漏洞管理** → **工作负载 CVE**。
-
从页面左上角的下拉列表中选择适当的方法来浏览镜像和部署。
-
要查看具有已观察到的 CVE 的镜像和部署,请选择**镜像漏洞**。
-
要查看没有已观察到的 CVE 的镜像和部署,请选择**无漏洞的镜像**。
-
-
可选:选择适当的方法来重新组织**工作负载 CVE**页面中的信息。
-
要按升序或降序对表格进行排序,请选择列标题。
-
要过滤表格,请使用筛选栏。
-
要选择要在表格中显示的类别,请执行以下步骤:
-
单击**管理列**。
-
选择适当的方法来管理列。
-
要查看所有类别,请单击**全选**。
-
要重置为默认类别,请单击**重置为默认值**。
-
要仅查看所选类别,请选择要查看的一个或多个类别。
-
-
-
要基于实体过滤 CVE,请选择相应的过滤器和属性。
要选择多个实体和属性,请单击向右箭头图标以添加另一个条件。根据您的选择,输入适当的信息,例如文本,或选择日期或对象。
过滤器实体和属性列在以下表格中。
表 1. CVE 过滤 实体 属性 镜像
CVE
-
**名称**:CVE 的名称。
-
**发现时间**:RHACS 发现 CVE 的日期。
-
**CVSS**:CVE 的严重性级别。
以下值与 CVE 的严重性级别相关联:
-
大于
-
大于或等于
-
等于
-
小于或等于
-
小于
-
镜像组件
-
**名称**:镜像组件的名称,例如,
activerecord-sql-server-adapter。 -
来源:
-
操作系统
-
Python
-
Java
-
Ruby
-
Node.js
-
Go
-
Dotnet Core 运行时
-
基础设施
-
-
**版本**:镜像组件的版本;例如,
3.4.21。您可以使用它来搜索组件的特定版本,例如,与组件名称结合使用。
部署
-
**名称**:部署的名称。
-
**标签**:部署的标签。
-
**注释**:部署的注释。
命名空间
-
**名称**:命名空间的名称。
-
**标签**:命名空间的标签。
-
**注释**:命名空间的注释。
集群
-
**名称**:集群的名称。
-
**标签**:集群的标签。
-
**类型**:集群类型,例如 OCP。
-
**平台类型**:平台类型,例如 OpenShift 4 集群。
-
-
要显示按风险优先级排序的命名空间列表,请单击**按命名空间视图优先排序**。
您可以使用此视图快速识别和解决最关键的区域。
在此视图中,单击表行中的**
个部署**以返回工作负载 CVE 列表视图,并应用过滤器以仅显示所选命名空间的部署、镜像和 CVE。 -
要应用默认过滤器,请单击**默认过滤器**。
您可以选择 CVE 严重性和 CVE 状态的过滤器,这些过滤器在您访问**工作负载 CVE**页面时会自动应用。
这些过滤器仅适用于此页面,并且在您从 RHACS Web 门户的另一个部分或从书签 URL 访问页面时应用。它们保存在浏览器的本地存储中。
-
要根据 CVE 的严重性过滤表格,请从**CVE 严重性**下拉列表中选择一个或多个严重性级别。
以下值与 CVE 的严重性相关联:
-
严重 -
重要 -
中等 -
低
-
-
要根据 CVE 的状态过滤表格,请从**CVE 状态**下拉列表中选择一个或多个状态。
以下值与 CVE 的状态相关联:
-
可修复 -
不可修复
-
-
|
**过滤视图**图标表示显示的结果是根据您选择的条件过滤的。您可以单击**清除过滤器**以删除所有过滤器,或通过单击过滤器来删除单个过滤器。 |
在结果列表中,单击 CVE、镜像名称或部署名称以查看有关该项目的更多信息。例如,根据项目类型,您可以查看以下信息:
-
CVE 是否可修复
-
镜像是否处于活动状态
-
镜像中包含 CVE 的 Dockerfile 行
-
指向 Red Hat 和其他 CVE 数据库中有关 CVE 信息的外部链接
分析具有已观察到的 CVE 的镜像和部署
当您选择**镜像漏洞**时,**工作负载 CVE**页面将显示 Red Hat Advanced Cluster Security for Kubernetes (RHACS) 已发现 CVE 的镜像和部署。
CVE 选项卡
CVE 视图将信息组织到以下组中:
-
**CVE**:显示通用漏洞和披露 (CVE) 的唯一标识符,每个标识符代表一个特定的漏洞,以便详细跟踪和分析它。
-
**按严重性分组的镜像**:根据相关漏洞的严重性级别对镜像进行分组。
-
最高 CVSS 评分:显示每个 CVE 在各个镜像中的最高 CVSS 评分,以突出显示影响最严重的漏洞。
-
最高 NVD CVSS 评分:显示来自国家漏洞数据库 (NVD) 的最高严重性评分,以便进行标准化的影响评估。
只有启用扫描程序 V4 后,才能看到最高 NVD CVSS 评分列。
-
受影响的镜像:显示受特定 CVE 影响的容器镜像数量,以便评估漏洞的范围。
-
首次发现时间:显示在环境中首次发现每个漏洞的日期,以便衡量其暴露持续时间。
-
发布日期:指示 CVE 公开披露的时间。
要查看和分类与 CVE 关联的详细信息,请单击 CVE。
将打开一个窗口,其中包含有关与 CVE 关联的漏洞的信息。
分析未发现 CVE 的镜像和部署
选择无漏洞镜像后,工作负载 CVE页面将显示满足以下至少一个条件的镜像
-
没有 CVE 的镜像
-
报告扫描程序错误的镜像,这些错误可能导致误报为无 CVE
|
实际上包含漏洞的镜像可能会意外地出现在此列表中。例如,如果扫描程序能够扫描镜像并且 Red Hat Advanced Cluster Security for Kubernetes (RHACS) 已知该镜像,但扫描未成功完成,则 RHACS 无法检测到漏洞。 如果镜像具有 RHACS 扫描程序不支持的操作系统,则会出现这种情况。当您将鼠标悬停在镜像列表中的镜像上或单击镜像名称以获取更多信息时,RHACS 会显示扫描错误。 |
查看节点 CVE
您可以使用 RHACS 识别节点中的漏洞。已识别的漏洞包括:
-
核心 Kubernetes 组件中的漏洞
-
容器运行时(例如 Docker、CRI-O、runC 和 containerd)中的漏洞
有关 RHACS 可以扫描的操作系统的更多信息,请参阅“受支持的操作系统”。
步骤
-
在 RHACS 门户中,单击漏洞管理→节点 CVE。
-
要查看数据,请执行以下任何操作:
-
要查看影响所有节点的所有 CVE 列表,请选择<number> 个 CVE。
-
要查看包含 CVE 的节点列表,请选择<number> 个节点。
-
-
可选:要根据实体过滤 CVE,请选择相应的过滤器和属性。要添加更多过滤条件,请按照以下步骤操作:
-
从列表中选择实体或属性。
-
根据您的选择,输入相应的信息,例如文本,或选择日期或对象。
-
单击向右箭头图标。
-
可选:选择其他实体和属性,然后单击向右箭头图标以添加它们。过滤器实体和属性列在以下表格中。
表 2. CVE 过滤 实体 属性 节点
-
名称:节点的名称。
-
操作系统:节点的操作系统,例如 Red Hat Enterprise Linux (RHEL)。
-
标签:节点的标签。
-
注释:节点的注释。
-
扫描时间:节点的扫描日期。
CVE
-
**名称**:CVE 的名称。
-
**发现时间**:RHACS 发现 CVE 的日期。
-
**CVSS**:CVE 的严重性级别。
以下值与 CVE 的严重性级别相关联:
-
大于
-
大于或等于
-
等于
-
小于或等于
-
小于
-
节点组件
-
名称:组件的名称。
-
版本:组件的版本,例如
4.15.0-2024。您可以使用它来搜索特定版本的组件,例如,与组件名称结合使用。
集群
-
**名称**:集群的名称。
-
**标签**:集群的标签。
-
类型:集群的类型,例如 OCP。
-
平台类型:平台的类型,例如 OpenShift 4 集群。
-
-
-
可选:要细化结果列表,请执行以下任何操作:
-
单击CVE 严重性,然后选择一个或多个级别。
-
单击CVE 状态,然后选择可修复或不可修复。
-
-
可选:要查看节点的详细信息以及有关 CVE 的信息(根据 CVSS 评分和该节点的可修复 CVE),请单击节点列表中的节点名称。
查看平台CVE
平台CVE页面提供关于系统集群中漏洞的信息。
步骤
-
点击**漏洞管理** → **平台CVE**。
-
您可以通过选择合适的过滤器和属性来按实体筛选CVE。您可以通过点击右箭头图标添加另一个条件来选择多个实体和属性。根据您的选择,输入适当的信息,例如文本,或选择日期或对象。过滤器实体和属性列在下面的表格中。
表3. CVE过滤 实体 属性 集群
-
**名称**:集群的名称。
-
**标签**:集群的标签。
-
**类型**:集群类型,例如 OCP。
-
**平台类型**:平台类型,例如 OpenShift 4 集群。
CVE
-
**名称**:CVE 的名称。
-
**发现时间**:RHACS 发现 CVE 的日期。
-
**CVSS**: CVE的严重性级别。您可以从以下严重性级别选项中进行选择。
-
大于
-
大于或等于
-
等于
-
小于或等于
-
小于
-
-
**类型**: CVE的类型
-
Kubernetes CVE
-
Istio CVE
-
OpenShift CVE
-
-
-
要按CVE状态筛选,请点击**CVE状态**并选择**可修复**或**不可修复**。
|
**过滤视图**图标表示显示的结果是根据您选择的条件过滤的。您可以单击**清除过滤器**以删除所有过滤器,或通过单击过滤器来删除单个过滤器。 |
在结果列表中,点击一个CVE以查看有关该项目的更多信息。例如,如果已填充,您可以查看以下信息:
-
CVE的文档
-
指向 Red Hat 和其他 CVE 数据库中有关 CVE 信息的外部链接
-
CVE是否可修复或不可修复
-
受影响集群的列表
排除CVE
您可以通过暂停节点和平台CVE以及将节点、平台和镜像CVE推迟或标记为误报来在RHACS中排除或忽略CVE。如果您知道某个CVE是误报,或者您已经采取措施来缓解CVE,则可能需要排除CVE。暂停的CVE不会出现在漏洞报告中或触发策略违规。
您可以暂停CVE以在指定的时间段内全局忽略它。暂停CVE不需要审批。
|
暂停节点和平台CVE需要将 |
推迟或将CVE标记为误报是通过异常管理工作流完成的。此工作流提供了查看待处理、已批准和已拒绝的推迟和误报请求的功能。您可以将CVE异常的范围限定为单个镜像、单个镜像的所有标签或所有镜像的全局范围。
批准或拒绝请求时,必须添加评论。在异常请求获批准之前,CVE 保持在观察状态。另一个用户拒绝的待处理推迟请求仍然会显示在报告、策略违规和系统中的其他位置,但在访问**漏洞管理** → **工作负载CVE**时,CVE旁边会标有**待处理异常**标签。
推迟或误报的已批准异常具有以下影响:
-
将CVE从**漏洞管理** → **工作负载CVE**中的**已观察**选项卡移除到**已推迟**或**误报**选项卡
-
阻止CVE触发与CVE相关的策略违规
-
阻止CVE出现在自动生成的漏洞报告中
暂停平台和节点CVE
您可以暂停与您的基础设施无关的平台和节点CVE。您可以暂停CVE 1 天、1 周、2 周、1 个月或无限期地暂停,直到您取消暂停它们为止。暂停CVE会立即生效,并且不需要额外的批准步骤。
|
默认情况下,Web 门户或 API 中未启用暂停 CVE 的功能。要启用暂停 CVE 的功能,请将运行时环境变量 |
步骤
-
在RHACS门户中,执行以下任何任务:
-
要查看平台CVE,请点击**漏洞管理** → **平台CVE**。
-
要查看节点CVE,请点击**漏洞管理** → **节点CVE**。
-
-
选择一个或多个CVE。
-
选择适当的方法来暂停CVE
-
如果您选择了一个CVE,请点击溢出菜单,
,然后选择**暂停CVE**。 -
如果您选择了多个CVE,请点击**批量操作** → **暂停CVE**。
-
-
选择暂停的持续时间。
-
点击**暂停CVE**。
您将收到一条确认消息,表明您已请求暂停CVE。
取消暂停平台和节点CVE
您可以取消暂停之前暂停的平台和节点CVE。
|
默认情况下,Web 门户或 API 中未启用暂停 CVE 的功能。要启用暂停 CVE 的功能,请将运行时环境变量 |
步骤
-
在RHACS门户中,执行以下任何任务:
-
要查看平台CVE列表,请点击**漏洞管理** → **平台CVE**。
-
要查看节点CVE列表,请点击**漏洞管理** → **节点CVE**。
-
-
要查看已暂停的CVE列表,请点击标题视图中的**显示已暂停的CVE**。
-
从已暂停的CVE列表中选择一个或多个CVE。
-
选择适当的方法来取消暂停CVE
-
如果您选择了一个CVE,请点击溢出菜单,
,然后选择**取消暂停CVE**。 -
如果您选择了多个CVE,请点击**批量操作** → **取消暂停CVE**。
-
-
再次点击**取消暂停CVE**。
您将收到一条确认消息,表明您已请求取消暂停CVE。
查看已暂停的CVE
您可以查看已暂停的平台和节点CVE列表。
|
默认情况下,Web 门户或 API 中未启用暂停 CVE 的功能。要启用暂停 CVE 的功能,请将运行时环境变量 |
步骤
-
在RHACS门户中,执行以下任何任务:
-
要查看平台CVE列表,请点击**漏洞管理** → **平台CVE**。
-
要查看节点CVE列表,请点击**漏洞管理** → **节点CVE**。
-
-
点击**显示已暂停的CVE**以查看列表。
全局将漏洞标记为误报
您可以通过将漏洞全局标记为误报或跨所有镜像标记为误报来创建异常。您必须获得在异常管理工作流中批准将漏洞标记为误报的请求。
先决条件
-
您对
VulnerabilityManagementRequests资源具有write权限。
步骤
-
在 RHACS 门户中,单击**漏洞管理** → **工作负载 CVE**。
-
选择适当的方法来标记CVE
-
如果您想标记单个CVE,请执行以下步骤:
-
找到包含您要对其采取操作的CVE的行。
-
点击溢出菜单,
,然后为已识别的CVE选择**标记为误报**。
-
-
如果要标记多个CVE,请执行以下步骤
-
选择每个CVE。
-
从**批量操作**下拉列表中,选择**标记为误报**。
-
-
-
输入请求例外情况的理由。
-
可选:要查看包含在例外请求中的CVE,请点击**CVE选择**。
-
点击**提交请求**。
您将收到已请求例外的确认信息。
-
可选:要复制审批链接并与组织的例外审批人共享,请点击复制图标。
-
点击**关闭**。
将漏洞标记为图像或图像标签的误报
要为漏洞创建例外情况,您可以将其标记为单个图像的误报,或标记为与图像关联的所有标签的误报。您必须获得在例外管理工作流程中批准的将漏洞标记为误报的请求。
先决条件
-
您对
VulnerabilityManagementRequests资源具有write权限。
步骤
-
在 RHACS 门户中,单击**漏洞管理** → **工作负载 CVE**。
-
要查看图像列表,请点击**
张图像**。 -
找到列出要标记为误报的图像的行,然后点击图像名称。
-
选择适当的方法来标记CVE
-
如果您想标记单个CVE,请执行以下步骤:
-
找到包含您要对其采取操作的CVE的行。
-
点击溢出菜单,
,然后为已识别的CVE选择**标记为误报**。
-
-
如果要标记多个CVE,请执行以下步骤
-
选择每个CVE。
-
从**批量操作**下拉列表中,选择**标记为误报**。
-
-
-
选择范围。您可以选择与图像关联的所有标签,也可以只选择图像。
-
输入请求例外情况的理由。
-
可选:要查看包含在例外请求中的CVE,请点击**CVE选择**。
-
点击**提交请求**。
您将收到已请求例外的确认信息。
-
可选:要复制审批链接并与组织的例外审批人共享,请点击复制图标。
-
点击**关闭**。
查看延迟和误报CVE
您可以使用**工作负载CVE**页面查看已延迟或标记为误报的CVE。
步骤
-
要查看已延迟或标记为误报的CVE(包含审批人批准的例外情况),请点击**漏洞管理** → **工作负载CVE**。完成以下任何操作
-
要查看已延迟的CVE,请点击**延迟**选项卡。
-
要查看已标记为误报的CVE,请点击**误报**选项卡。
要批准、拒绝或更改延迟或误报的CVE,请点击**漏洞管理** → **例外管理**。
-
-
可选:要查看有关延迟或误报的更多信息,请点击**请求详细信息**列中的**查看**。将显示**例外管理**页面。
延迟CVE
您可以接受有或无缓解措施的风险并延迟CVE。您必须获得在例外管理工作流程中批准的延迟请求。
先决条件
-
您对
VulnerabilityManagementRequests资源具有write权限。
步骤
-
在 RHACS 门户中,单击**漏洞管理** → **工作负载 CVE**。
-
选择适当的方法来延迟CVE
-
如果要延迟单个CVE,请执行以下步骤
-
找到包含要标记为误报的CVE的行。
-
点击溢出菜单,
,然后点击**延迟CVE**。
-
-
如果要延迟多个CVE,请执行以下步骤
-
选择每个CVE。
-
点击**批量操作** → **延迟CVE**。
-
-
-
选择延迟的时间段。
-
输入请求例外情况的理由。
-
可选:要查看包含在例外菜单中的CVE,请点击**CVE选择**。
-
点击**提交请求**。
您将收到已请求延迟的确认信息。
-
可选:要复制审批链接并与组织的例外审批人共享,请点击复制图标。
-
点击**关闭**。
审核和管理延迟或将CVE标记为误报的例外请求
您可以审核、更新、批准或拒绝延迟和将CVE标记为误报的例外请求。
先决条件
-
您对
VulnerabilityManagementRequests资源具有write权限。
步骤
-
要查看待处理请求列表,请执行以下任何任务
-
将审批链接粘贴到您的浏览器中。
-
点击**漏洞管理** → **例外管理**,然后点击**待处理请求**选项卡中的请求名称。
-
-
查看漏洞的范围,并决定是否批准。
-
选择适当的选项来管理待处理请求
-
如果要拒绝请求并将CVE返回到观察状态,请点击**拒绝请求**。
输入拒绝理由,然后点击**拒绝**。
-
如果要批准请求,请点击**批准请求**。
输入批准理由,然后点击**批准**。
-
-
要取消已创建的请求并将CVE返回到观察状态,请点击**取消请求**。您只能取消自己创建的请求。
-
要更新已创建请求的延迟时间段或理由,请点击**更新请求**。您只能更新自己创建的请求。
进行更改后,点击**提交请求**。
您将收到已提交请求的确认信息。
识别图像中引入包含CVE的组件的Dockerfile行
您可以识别图像中引入包含CVE的组件的特定Dockerfile行。
步骤
要查看有问题的行
-
在 RHACS 门户中,单击**漏洞管理** → **工作负载 CVE**。
-
点击选项卡以查看CVE的类型。以下选项卡可用
-
观察到的
-
延迟的
-
误报
-
-
在CVE列表中,点击CVE名称以打开包含CVE详细信息的页面。**受影响的组件**列列出了包含CVE的组件。
-
展开CVE以显示其他信息,包括引入组件的Dockerfile行。
查找新的组件版本
以下过程查找要升级到的新组件版本。
步骤
-
在 RHACS 门户中,单击**漏洞管理** → **工作负载 CVE**。
-
点击**
张图像**并选择一个图像。 -
要查看其他信息,请找到CVE并点击展开图标。
其他信息包括CVE所在的组件以及修复CVE的版本(如果可修复)。
-
将您的图像更新到更高版本。
使用API导出工作负载漏洞
您可以使用API导出Red Hat Advanced Cluster Security for Kubernetes中的工作负载漏洞。
在这些示例中,工作负载由部署及其关联的图像组成。导出使用/v1/export/vuln-mgmt/workloads流式API。它允许组合导出部署和图像。images有效负载包含完整的漏洞信息。输出是流式传输的,并具有以下模式
{"result": {"deployment": {...}, "images": [...]}}
...
{"result": {"deployment": {...}, "images": [...]}}以下示例假设已设置以下环境变量
-
ROX_API_TOKEN:具有Deployment和Image资源的view权限的API令牌 -
ROX_ENDPOINT:Central API 可用的端点 -
要导出所有工作负载,请输入以下命令
$ curl -H "Authorization: Bearer $ROX_API_TOKEN" $ROX_ENDPOINT/v1/export/vuln-mgmt/workloads -
要以60秒的查询超时导出所有工作负载,请输入以下命令
$ curl -H "Authorization: Bearer $ROX_API_TOKEN" $ROX_ENDPOINT/v1/export/vuln-mgmt/workloads?timeout=60 -
要导出与查询
Deployment:app Namespace:default匹配的所有工作负载,请输入以下命令$ curl -H "Authorization: Bearer $ROX_API_TOKEN" $ROX_ENDPOINT/v1/export/vuln-mgmt/workloads?query=Deployment%3Aapp%2BNamespace%3Adefault
其他资源
扫描非活动镜像
Red Hat Advanced Cluster Security for Kubernetes (RHACS) 每4小时扫描所有活动(已部署)镜像,并更新镜像扫描结果以反映最新的漏洞定义。
您还可以配置 RHACS 自动扫描非活动(未部署)镜像。
步骤
-
在 RHACS 门户中,单击**漏洞管理** → **工作负载 CVE**。
-
点击管理监控镜像。
-
在镜像名称字段中,输入以注册表开头并以镜像标签结尾的完全限定镜像名称,例如
docker.io/library/nginx:latest。 -
点击添加镜像到监控列表。
-
可选:要删除监控的镜像,请在管理监控镜像窗口中找到该镜像,然后点击移除监控。
在 RHACS 门户中,点击平台配置 → 系统配置以查看数据保留配置。
从监控镜像列表中删除的所有与镜像相关的数据,将继续显示在 RHACS 门户中,持续时间为系统配置页面上提到的天数,只有在此期间结束后才会被删除。
-
点击关闭返回工作负载CVE页面。