Alauda Security Service
  • Русский

    • Изучение образов на наличие уязвимостей

    Alauda Security Service позволяет анализировать контейнерные образы на наличие уязвимостей с помощью встроенного Scanner V4. Сканер проверяет слои образа, определяет пакеты и сопоставляет их с базами уязвимостей из таких источников, как NVD, OSV и специализированные ленты для конкретных ОС.

    При обнаружении уязвимостей Alauda Security Service:

    • Отображает их в Vulnerability Management > Results
    • Ранжирует и выделяет их для оценки риска
    • Проверяет их по включенным security policies

    Сканер определяет установленные компоненты, проверяя определенные файлы. Если этих файлов нет, некоторые уязвимости могут не быть обнаружены. Требуемые файлы включают:

    Тип компонентаТребуемые файлы
    Менеджеры пакетов/etc/alpine-release; /etc/lsb-release; /etc/os-release или /usr/lib/os-release; /etc/oracle-release; /etc/centos-release; /etc/redhat-release; /etc/system-release; другие аналогичные файлы
    Зависимости на уровне языкаpackage.json (JavaScript); dist-info/egg-info (Python); MANIFEST.MF (Java JAR)
    Зависимости на уровне приложенияdotnet/shared/Microsoft.AspNetCore.App/; dotnet/shared/Microsoft.NETCore.App/

    Содержание

    Представления результатовОбзор Scanner V4Рабочий процесс сканераШаги рабочего процессаРаспространенные предупреждающие сообщения сканераПоддерживаемые платформы и форматыПоддерживаемые дистрибутивы LinuxПоддерживаемые форматы пакетовПоддерживаемые языки программированияПоддерживаемые форматы слоев контейнерных образовАктивные и отслеживаемые образыСканирование по запросуОбновления данных об уязвимостях

    Представления результатов

    В текущем UI результаты обнаруженных уязвимостей в основном организованы через Vulnerability Management > Results. К распространенным точкам входа относятся:

    • User Workloads
    • Platform
    • Nodes
    • More Views

    Используйте эти представления, чтобы разделять результаты по образам приложений, компонентам платформы и узлам во время triage.

    Обзор Scanner V4

    Scanner V4 — это сканер по умолчанию. Он улучшает охват компонентов, зависящих от языка и ОС, и используется в рабочих процессах сканирования образов, описанных в этом руководстве.

    Рабочий процесс сканера

    Шаги рабочего процесса

    1. Central запрашивает у Scanner V4 Indexer анализ образов.
    2. Indexer извлекает метаданные и загружает слои.
    3. Indexer формирует отчет индексации.
    4. Matcher сопоставляет образы с уязвимостями и генерирует отчеты.

    Распространенные предупреждающие сообщения сканера

    СообщениеОписание
    Unable to retrieve the OS CVE data, only Language CVE data is availableБазовая ОС не поддерживается; CVE уровня ОС отсутствуют.
    Stale OS CVE dataОС достигла end-of-life; данные могут быть устаревшими.
    Failed to get the base OS informationСканеру не удалось определить базовую ОС.
    Failed to retrieve metadata from the registryНедоступен registry или не прошла аутентификация.
    Image out of scope for Red Hat Vulnerability Scanner CertificationОбраз слишком старый для сертификации.

    Поддерживаемые платформы и форматы

    Поддерживаемые дистрибутивы Linux

    ДистрибутивВерсия
    Alpine Linuxalpine:3.2alpine:3.21, alpine:edge
    Amazon Linuxamzn:2018.03, amzn:2, amzn:2023
    CentOScentos:6, centos:7, centos:8
    Debiandebian:11, debian:12, debian:unstable, Distroless
    Oracle Linuxol:5ol:9
    Photon OSphoton:1.0photon:3.0
    RHELrhel:6rhel:9
    SUSEsles:11sles:15, opensuse-leap:15.5, opensuse-leap:15.6
    Ubuntuubuntu:14.04ubuntu:24.10
    INFO

    Некоторые более старые версии Debian/Ubuntu не обновляются поставщиком. Fedora не поддерживается для CVE уровня ОС.

    Поддерживаемые форматы пакетов

    Формат пакетаМенеджеры пакетов
    apkapk
    dpkgapt; dpkg
    rpmdnf; microdnf; rpm; yum

    Поддерживаемые языки программирования

    ЯзыкФормат пакета
    GoBinaries (анализирует stdlib и, если присутствуют, зависимости go.mod)
    JavaJAR; WAR; EAR; JPI; HPI
    JavaScriptpackage.json
    Pythonegg; wheel
    Rubygem

    Поддерживаемые форматы слоев контейнерных образов

    ФорматScanner V4
    Без сжатияДа
    bzip2Да
    gzipДа
    xzНет
    zstdДа

    Активные и отслеживаемые образы

    Alauda Security Service сканирует все активные образы каждые 4 часа. Вы также можете добавить неактивные образы в список отслеживаемых, чтобы они продолжали сканироваться и отслеживаться.

    Шаги:

    1. В portal перейдите в Vulnerability Management > Results.
    2. Нажмите More Views > Inactive images.
    3. Нажмите Manage watched images и при необходимости добавьте или удалите образы.
    INFO

    Данные для удаленных образов сохраняются в течение периода, настроенного в System Configuration.

    Сканирование по запросу

    Чтобы получить результаты сканирования по запросу, вы также можете использовать CLI:

    roxctl image scan --image=<image_name>

    Если для кластера настроено delegated scanning, можно добавить --cluster=<cluster_name>, чтобы направить запрос на сканирование образа в этот кластер.

    Обновления данных об уязвимостях

    В подключенных средах Central получает определения уязвимостей каждые 5 минут с https://definitions.stackrox.io.

    Для изолированных сред используйте автономный рабочий процесс, описанный в Using Alauda Security Service in Offline Mode.