Alauda Container Security
  • Русский

    • Анализ образов на уязвимости

    Alauda Container Security для Kubernetes позволяет анализировать образы контейнеров на уязвимости с помощью встроенного Scanner V4. Сканер проверяет слои образа, определяет пакеты и сопоставляет их с базами данных уязвимостей из таких источников, как NVD, OSV и специфичные для ОС каналы.

    При обнаружении уязвимостей Alauda Container Security:

    • Отображает их в представлении Vulnerability Management
    • Ранжирует и выделяет для оценки риска
    • Проверяет их в соответствии с включёнными политиками безопасности

    Сканер определяет установленные компоненты, анализируя определённые файлы. Если эти файлы отсутствуют, некоторые уязвимости могут остаться невыявленными. Необходимые файлы включают:

    Тип компонентаНеобходимые файлы
    Менеджеры пакетов/etc/alpine-release; /etc/lsb-release; /etc/os-release или /usr/lib/os-release; /etc/oracle-release; /etc/centos-release; /etc/redhat-release; /etc/system-release; другие аналогичные файлы
    Зависимости на уровне языкаpackage.json (JavaScript); dist-info/egg-info (Python); MANIFEST.MF (Java JAR)
    Зависимости на уровне приложенийdotnet/shared/Microsoft.AspNetCore.App/; dotnet/shared/Microsoft.NETCore.App/

    Содержание

    Обзор Scanner V4Рабочий процесс сканераЭтапы рабочего процессаРаспространённые предупреждения сканераПоддерживаемые платформы и форматыПоддерживаемые дистрибутивы LinuxПоддерживаемые форматы пакетовПоддерживаемые языки программированияПоддерживаемые форматы слоёв образов контейнеровСканирование образов и список наблюденияОбновления данных об уязвимостях

    Обзор Scanner V4

    Scanner V4 улучшает сканирование компонентов, специфичных для языка и ОС. Scanner V4 включён по умолчанию и обязателен для всех сценариев сканирования уязвимостей.

    Рабочий процесс сканера

    Этапы рабочего процесса

    1. Central запрашивает у Scanner V4 Indexer анализ образов.
    2. Indexer загружает метаданные и скачивает слои.
    3. Indexer формирует отчёт индекса.
    4. Matcher сопоставляет образы с уязвимостями и генерирует отчёты.

    Распространённые предупреждения сканера

    СообщениеОписание
    Unable to retrieve the OS CVE data, only Language CVE data is availableБазовая ОС не поддерживается; доступны только уязвимости на уровне языка.
    Stale OS CVE dataОС достигла конца срока поддержки; данные могут быть устаревшими.
    Failed to get the base OS informationСканер не смог определить базовую ОС.
    Failed to retrieve metadata from the registryРеестр недоступен или ошибка аутентификации.
    Image out of scope for Red Hat Vulnerability Scanner CertificationОбраз слишком стар для сертификации.

    Поддерживаемые платформы и форматы

    Поддерживаемые дистрибутивы Linux

    ДистрибутивВерсия
    Alpine Linuxalpine:3.2alpine:3.21, alpine:edge
    Amazon Linuxamzn:2018.03, amzn:2, amzn:2023
    CentOScentos:6, centos:7, centos:8
    Debiandebian:11, debian:12, debian:unstable, Distroless
    Oracle Linuxol:5ol:9
    Photon OSphoton:1.0photon:3.0
    RHELrhel:6rhel:9
    SUSEsles:11sles:15, opensuse-leap:15.5, opensuse-leap:15.6
    Ubuntuubuntu:14.04ubuntu:24.10
    INFO

    Некоторые старые версии Debian/Ubuntu не обновляются поставщиком. Fedora не поддерживается для OS CVE.

    Поддерживаемые форматы пакетов

    Формат пакетаМенеджеры пакетов
    apkapk
    dpkgapt; dpkg
    rpmdnf; microdnf; rpm; yum

    Поддерживаемые языки программирования

    ЯзыкФормат пакета
    GoБинарные файлы (анализирует stdlib и, если присутствует, зависимости из go.mod)
    JavaJAR; WAR; EAR; JPI; HPI
    JavaScriptpackage.json
    Pythonegg; wheel
    Rubygem

    Поддерживаемые форматы слоёв образов контейнеров

    ФорматScanner V4
    Без сжатияДа
    bzip2Да
    gzipДа
    xzНет
    zstdДа

    Сканирование образов и список наблюдения

    Alauda Container Security сканирует все активные образы каждые 4 часа. Также можно включить автоматическое сканирование неактивных образов (начиная с версии 3.0.57) через настройку Watch.

    Шаги:

    1. В портале перейдите в Vulnerability Management > Results.
    2. Нажмите More Views > Inactive images.
    3. Нажмите Manage watched images и добавьте или удалите образы по необходимости.
    INFO

    Данные по удалённым образам сохраняются в течение настроенного периода в System Configuration.

    Обновления данных об уязвимостях

    Central получает определения уязвимостей каждые 5 минут с https://definitions.stackrox.io