Alauda Security Service
  • 简体中文

    • 检查镜像中的漏洞

    Alauda Security Service 通过内置的 Scanner V4,帮助你分析容器镜像中的漏洞。该扫描器会检查镜像层,识别包,并将其与来自 NVD、OSV 以及操作系统特定源等来源的漏洞数据库进行匹配。

    检测到漏洞时,Alauda Security Service 会:

    • Vulnerability Management > Results 中显示这些漏洞
    • 对其进行排序并高亮显示,以便进行风险评估
    • 将其与已启用的 安全策略 进行检查

    扫描器通过检查特定文件来识别已安装的组件。如果这些文件缺失,某些漏洞可能不会被检测到。所需文件包括:

    组件类型所需文件
    包管理器/etc/alpine-release; /etc/lsb-release; /etc/os-release/usr/lib/os-release; /etc/oracle-release; /etc/centos-release; /etc/redhat-release; /etc/system-release; 其他类似文件
    语言级依赖项package.json(JavaScript);dist-info/egg-info(Python);MANIFEST.MF(Java JAR)
    原生应用级依赖项dotnet/shared/Microsoft.AspNetCore.App/; dotnet/shared/Microsoft.NETCore.App/

    目录

    结果视图Scanner V4 概述扫描工作流工作流步骤常见扫描器警告消息支持的平台和格式支持的 Linux 发行版支持的包格式支持的编程语言支持的容器镜像层格式活动镜像和受监视镜像按需扫描漏洞数据更新

    结果视图

    在当前 UI 中,漏洞发现结果主要通过 Vulnerability Management > Results 进行组织。常见入口包括:

    • User Workloads
    • Platform
    • Nodes
    • More Views

    在分流处理时,可使用这些视图将应用镜像、平台组件和与节点相关的发现结果区分开来。

    Scanner V4 概述

    Scanner V4 是默认扫描器。它增强了对语言特定组件和操作系统特定组件的覆盖范围,并用于本指南中描述的镜像扫描工作流。

    扫描工作流

    工作流步骤

    1. Central 请求 Scanner V4 Indexer 分析镜像。
    2. Indexer 拉取元数据并下载层。
    3. Indexer 生成索引报告。
    4. Matcher 将镜像与漏洞进行匹配并生成报告。

    常见扫描器警告消息

    消息描述
    Unable to retrieve the OS CVE data, only Language CVE data is available基础 OS 不受支持;没有 OS 级别的 CVE。
    Stale OS CVE dataOS 已到达生命周期终点;数据可能已过时。
    Failed to get the base OS information扫描器无法确定基础 OS。
    Failed to retrieve metadata from the registry无法访问 registry 或身份验证失败。
    Image out of scope for Red Hat Vulnerability Scanner Certification镜像过旧,不符合认证范围。

    支持的平台和格式

    支持的 Linux 发行版

    发行版版本
    Alpine Linuxalpine:3.2alpine:3.21, alpine:edge
    Amazon Linuxamzn:2018.03, amzn:2, amzn:2023
    CentOScentos:6, centos:7, centos:8
    Debiandebian:11, debian:12, debian:unstable, Distroless
    Oracle Linuxol:5ol:9
    Photon OSphoton:1.0photon:3.0
    RHELrhel:6rhel:9
    SUSEsles:11sles:15, opensuse-leap:15.5, opensuse-leap:15.6
    Ubuntuubuntu:14.04ubuntu:24.10
    INFO

    某些较旧的 Debian/Ubuntu 版本不会由供应商更新。Fedora 不支持 OS CVE。

    支持的包格式

    包格式包管理器
    apkapk
    dpkgapt; dpkg
    rpmdnf; microdnf; rpm; yum

    支持的编程语言

    语言包格式
    Go二进制文件(分析 stdlib,并在存在时分析 go.mod 依赖项)
    JavaJAR; WAR; EAR; JPI; HPI
    JavaScriptpackage.json
    Pythonegg; wheel
    Rubygem

    支持的容器镜像层格式

    格式Scanner V4
    无压缩
    bzip2
    gzip
    xz
    zstd

    活动镜像和受监视镜像

    Alauda Security Service 每 4 小时扫描一次所有活动镜像。你还可以将非活动镜像添加到受监视镜像列表中,使其继续被扫描和跟踪。

    步骤:

    1. 在门户中,转到 Vulnerability Management > Results
    2. 单击 More Views > Inactive images
    3. 单击 Manage watched images,并根据需要添加或移除镜像。
    INFO

    已移除镜像的数据会在 System Configuration 中配置的周期内保留。

    按需扫描

    如需按需获取扫描结果,也可以使用 CLI:

    roxctl image scan --image=<image_name>

    如果某个集群已配置委派扫描,则可以添加 --cluster=<cluster_name>,将镜像扫描请求路由到该集群。

    漏洞数据更新

    在已连接环境中,Central 每 5 分钟会从 https://definitions.stackrox.io 获取一次漏洞定义。

    对于离线环境,请使用 在离线模式下使用 Alauda Security Service 中描述的离线工作流。