CVE-Datenbankquellen & Version

SUSE® Security Schwachstellen-Datenbank (CVE)

Die SUSE® Security Schwachstellendatenbank wird in der Regel nachts aktualisiert, soweit praktikabel, basierend auf Quellen von beliebten Container-Basisimages und Paket-Anbietern. Diese Updates werden automatisch in den Aktualisierungs-Container integriert und in der SUSE® Security privaten Docker-Hub-Registry veröffentlicht. Die Liste der enthaltenen Quellen wird regelmäßig überprüft, um die Genauigkeit der Scanergebnisse sicherzustellen.

Sie steuern, wann die CVE-Datenbank in Ihrer Implementierung aktualisiert wird. Bitte sehen Sie sich den Abschnitt Aktualisierung der CVE-Datenbank für Details zur Aktualisierung an.

SUSE® Security kann distroless und auf PhotonOS basierende Images scannen.

CVE-Datenbankversion

Die Version und das Datum der CVE-Datenbank werden in der Konsole im Tab "Plattformen, Registries, Schwachstellen" unter Containern/Knoten in Assets sowie in den Scan-Ereignissen der Risikoberichte angezeigt.

Um die REST-API zur Abfrage der Version zu verwenden:

curl -k -H "Content-Type: application/json" -H "X-Auth-Token: $_TOKEN_" "https://127.0.0.1:10443/v1/scan/scanner"

Ausgabe:

{
    "scanners": [
        {
            "cvedb_create_time": "2020-07-07T10:34:04Z",
            "cvedb_version": "1.950",
            "id": "0f043705948557828ac1831ee596588a0d050950113117ddd19ecd604982f4d9",
            "port": 18402,
            "server": "127.0.0.1"
        },
        {
            "cvedb_create_time": "2020-07-07T10:34:04Z",
            "cvedb_version": "1.950",
            "id": "9fa02c644d603f59331c95735158d137002d32a75ed1014326f5039f38d4d717",
            "port": 18402,
            "server": "192.168.9.95"
        }
    ]
}

Um den SUSE® Security Scanner nach der Datenbankversion abzufragen:

kubectl exec <scanner pod> -n neuvector -- scanner -v -d /etc/neuvector/db/

Um Docker-Befehle zu verwenden:

docker exec scanner scanner -v -d /etc/neuvector/db/

Abfrage der CVE-Datenbank hinsichtlich des Vorhandenseins einer bestimmten CVE

Ein Online-Service wird SUSE® Security Prime-Kunden (kostenpflichtiges Abonnement) bereitgestellt, mit dem sie die CVE-Datenbank abfragen können, um festzustellen, ob eine bestimmte CVE in der aktuellen Datenbankversion existiert. Weitere CVE-Datenbankabfragen sind ebenfalls über diesen Service verfügbar. Bitte beantragen Sie den Zugang über Ihr SUSE Support-Portal (SCC), den SUSE Collective-Link oder kontaktieren Sie Ihren SUSE-Kundenvertreter, um auf diesen Service zuzugreifen.

CVE-Datenbankquellen

Die aktuellste Liste der CVE-Datenbankquellen finden Sie hier

Quellen umfassen:

Allgemeine CVE-Feeds

Quelle URL

nvd und Mitre

https://nvd.nist.gov/general

NVD ist eine Obermenge von CVE https://cve.mitre.org/about/cve_and_nvd_relationship.html

OS CVE-Feeds

Quelle URL

alpine

https://secdb.alpinelinux.org/

amazon

https://alas.aws.amazon.com/

debian

https://security-tracker.debian.org/tracker/data/json

Microsoft mariner

https://github.com/microsoft/CBL-MarinerVulnerabilityData

Oracle

https://linux.oracle.com/oval/

Rancher OS

https://rancher.com/docs/os/v1.x/en/about/security/

redhat

https://www.redhat.com/security/data/oval/v2/

SUSE Linux

https://ftp.suse.com/pub/projects/security/oval/

ubuntu

https://launchpad.net/ubuntu-cve-tracker

Anwendungsbasierte Feeds

Quelle URL

.NET

https://github.com/advisories, https://www.cvedetails.com/vulnerability-list/vendor_id-26/

apache

https://www.cvedetails.com/vendor/45/Apache.html

busybox

https://www.cvedetails.com/vulnerability-list/vendor_id-4282/Busybox.html

golang

https://github.com/advisories

java

https://openjdk.java.net/groups/vulnerability/advisories/

github maven

https://github.com/advisories?query=maven

kubernetes

https://kubernetes.io/docs/reference/issues-security/official-cve-feed/

Die standardmäßige nginx-

http://nginx.org/en/security_advisories.html

npm/nodejs

https://github.com/advisories?query=ecosystem%3Anpm

python

https://github.com/pyupio/safety-db

openssl

https://www.openssl.org/news/vulnerabilities.html

ruby

https://github.com/rubysec/ruby-advisory-db

Scanner-Genauigkeit

SUSE® Security bewertet jede Quelle, um zu bestimmen, wie man am genauesten nach Schwachstellen scannen kann. Es ist üblich, dass die Scanergebnisse von Scannern verschiedener Anbieter unterschiedliche Ergebnisse liefern. Das liegt daran, dass jeder Anbieter die Quellen unterschiedlich verarbeitet.

Eine höhere Anzahl von Schwachstellen, die von einem Scanner erkannt werden, ist nicht zwangsläufig besser als die eines anderen. Das liegt daran, dass es falsch-positive Ergebnisse geben kann, die ungenaue Schwachstellenergebnisse zurückliefern.

SUSE® Security unterstützt sowohl geschichtete als auch nicht-geschichtete (komprimierte) Scanergebnisse für Images. Der geschichtete Scan zeigt Schwachstellen in jeder Schicht, während der nicht-geschichtete nur Schwachstellen an der Oberfläche zeigt.

Scanner-Leistung

Eine Reihe von Faktoren bestimmt die Scanner-Leistung. Für Registry-Scans bestimmen die Anzahl und Größe der Images sowie, ob ein geschichteter Scan durchgeführt wird, die Leistung. Für Laufzeitscans wird die Sammlung von Containerdaten über alle Enforcer verteilt und dann vom Controller für den Datenbankvergleich geplant.

Mehrere parallele Scanner können eingesetzt werden, um die Scanleistung für eine große Anzahl von Images zu erhöhen. Der Controller plant die Scanaufgaben über alle Scanner. Jeder Scanner ist ein Container, der über eine Kubernetes-Implementierung bzw. ein ReplicaSet bereitgestellt wird.