#检查图像中的漏洞

Alauda Container Security for Kubernetes 使您能够使用内置的 Scanner V4 分析容器图像中的漏洞。该扫描器检查图像层，识别软件包，并将其与来自 NVD、OSV 和特定操作系统源的漏洞数据库进行匹配。

当检测到漏洞时，Alauda Container Security 会：

• 在 漏洞管理 视图中显示它们
• 对其进行排名并突出显示以进行风险评估
• 将其与启用的 安全策略 进行检查

扫描器通过检查特定文件来识别已安装的组件。如果这些文件缺失，某些漏洞可能无法被检测到。所需文件包括：

组件类型	所需文件
包管理器	/etc/alpine-release; /etc/lsb-release; /etc/os-release 或 /usr/lib/os-release; /etc/oracle-release; /etc/centos-release; /etc/redhat-release; /etc/system-release; 其他类似文件
语言级依赖	package.json（JavaScript）；dist-info/egg-info（Python）；MANIFEST.MF（Java JAR）
应用级依赖	dotnet/shared/Microsoft.AspNetCore.App/; dotnet/shared/Microsoft.NETCore.App/

#Scanner V4 概述

Scanner V4 增强了对语言和操作系统特定组件的扫描。Scanner V4 默认启用，并且是所有漏洞扫描场景所必需的。

#扫描器工作流程

#工作流程步骤

1. 中心请求 Scanner V4 索引器分析图像。
2. 索引器提取元数据并下载图层。
3. 索引器生成索引报告。
4. 匹配器将图像与漏洞进行匹配并生成报告。

#常见扫描器警告消息

消息	描述
无法检索操作系统 CVE 数据，仅提供语言 CVE 数据	基础操作系统不受支持；没有操作系统级 CVE。
操作系统 CVE 数据过时	操作系统已达到生命周期结束；数据可能过时。
无法获取基础操作系统信息	扫描器无法确定基础操作系统。
无法从注册表中检索元数据	注册表无法访问或身份验证失败。
图像超出红帽漏洞扫描器认证范围	图像过旧，无法认证。

#支持的平台和格式

#支持的 Linux 发行版

发行版	版本
Alpine Linux	alpine:3.2–alpine:3.21，alpine:edge
Amazon Linux	amzn:2018.03，amzn:2，amzn:2023
CentOS	centos:6，centos:7，centos:8
Debian	debian:11，debian:12，debian:unstable，Distroless
Oracle Linux	ol:5–ol:9
Photon OS	photon:1.0–photon:3.0
RHEL	rhel:6–rhel:9
SUSE	sles:11–sles:15，opensuse-leap:15.5，opensuse-leap:15.6
Ubuntu	ubuntu:14.04–ubuntu:24.10

#支持的软件包格式

软件包格式	包管理器
apk	apk
dpkg	apt; dpkg
rpm	dnf; microdnf; rpm; yum

#支持的编程语言

语言	软件包格式
Go	二进制文件（分析标准库，如果存在，则分析 go.mod 依赖项）
Java	JAR; WAR; EAR; JPI; HPI
JavaScript	package.json
Python	egg; wheel
Ruby	gem

#支持的容器镜像层格式

格式	Scanner V4
无压缩	是
bzip2	是
gzip	是
xz	否
zstd	是

#图像扫描和观察列表

Alauda Container Security 每 4 小时扫描所有活动图像。您还可以通过 观察 设置启用对非活动图像的自动扫描（从版本 3.0.57 开始）。

步骤：

1. 在门户中，转到 漏洞管理 > 结果。
2. 点击 更多视图 > 非活动图像。
3. 点击 管理观察图像，根据需要添加或删除图像。

#漏洞数据更新

中心每 5 分钟从 https://definitions.stackrox.io 获取漏洞定义。