Fuentes y versión de la base de datos CVE

SUSE® Security Base de datos de vulnerabilidades (CVE)

La base de datos de vulnerabilidades SUSE® Security se actualiza generalmente cada noche, en la medida de lo posible, basándose en fuentes de imágenes base de contenedores populares y proveedores de paquetes. Estas actualizaciones se integran automáticamente en el contenedor de actualización y se publican en el SUSE® Security registro privado de docker hub. La lista de fuentes incluidas se evalúa con frecuencia para garantizar la precisión de los resultados del escaneo.

Tú controlas cuándo actualizar la base de datos CVE en tu ampliación. Por favor, consulta la sección Actualizar la base de datos CVE para obtener detalles sobre cómo actualizar.

SUSE® Security es capaz de escanear imágenes basadas en distroless y PhotonOS.

Versión de la base de datos CVE

La versión y la fecha de la base de datos CVE se pueden ver en la consola en las pestañas Plataformas, Registros, Vulnerabilidades en Contenedores/Nodos en Activos, y Eventos de Escaneo de Informes de Riesgo.

Para utilizar la API REST para consultar la versión:

curl -k -H "Content-Type: application/json" -H "X-Auth-Token: $_TOKEN_" "https://127.0.0.1:10443/v1/scan/scanner"

Salida:

{
    "scanners": [
        {
            "cvedb_create_time": "2020-07-07T10:34:04Z",
            "cvedb_version": "1.950",
            "id": "0f043705948557828ac1831ee596588a0d050950113117ddd19ecd604982f4d9",
            "port": 18402,
            "server": "127.0.0.1"
        },
        {
            "cvedb_create_time": "2020-07-07T10:34:04Z",
            "cvedb_version": "1.950",
            "id": "9fa02c644d603f59331c95735158d137002d32a75ed1014326f5039f38d4d717",
            "port": 18402,
            "server": "192.168.9.95"
        }
    ]
}

Para consultar la versión de la base de datos en el SUSE® Security escáner:

kubectl exec <scanner pod> -n neuvector -- scanner -v -d /etc/neuvector/db/

Para utilizar comandos de docker:

docker exec scanner scanner -v -d /etc/neuvector/db/

Consultando la base de datos CVE para la existencia de un CVE específico

Se proporciona un servicio en línea para clientes de SUSE® Security Prime (suscripción de pago) para poder consultar la base de datos CVE y determinar si un CVE específico existe en la versión actual de la base de datos. Otras consultas a la base de datos CVE también están disponibles desde este servicio. Por favor, solicita acceso a través de tu portal de soporte de SUSE (SCC), enlace de SUSE Collective, o contacta a tu representante de cuenta de SUSE para acceder a este servicio.

Fuentes de la base de datos CVE

La lista más actualizada de fuentes de la base de datos CVE se puede encontrar aquí

Las fuentes incluyen:

Flujos de CVE generales

Fuente	URL
nvd y Mitre	https://nvd.nist.gov/general

Fuente

URL

nvd y Mitre

https://nvd.nist.gov/general

NVD es un superconjunto de CVE https://cve.mitre.org/about/cve_and_nvd_relationship.html

Flujos de CVE de OS

Fuente	URL
alpine	https://secdb.alpinelinux.org/
amazon	https://alas.aws.amazon.com/
debian	https://security-tracker.debian.org/tracker/data/json
Microsoft mariner	https://github.com/microsoft/CBL-MarinerVulnerabilityData
Oracle	https://linux.oracle.com/oval/
Rancher OS	https://rancher.com/docs/os/v1.x/en/about/security/
redhat	https://www.redhat.com/security/data/oval/v2/
SUSE Linux	https://ftp.suse.com/pub/projects/security/oval/
ubuntu	https://launchpad.net/ubuntu-cve-tracker

Fuente

URL

alpine

https://secdb.alpinelinux.org/

amazon

https://alas.aws.amazon.com/

debian

https://security-tracker.debian.org/tracker/data/json

Microsoft mariner

https://github.com/microsoft/CBL-MarinerVulnerabilityData

Oracle

https://linux.oracle.com/oval/

Rancher OS

https://rancher.com/docs/os/v1.x/en/about/security/

redhat

https://www.redhat.com/security/data/oval/v2/

SUSE Linux

https://ftp.suse.com/pub/projects/security/oval/

ubuntu

https://launchpad.net/ubuntu-cve-tracker

Flujos basados en aplicaciones

Fuente	URL
.NET	https://github.com/advisories, https://www.cvedetails.com/vulnerability-list/vendor_id-26/
apache	https://www.cvedetails.com/vendor/45/Apache.html
busybox	https://www.cvedetails.com/vulnerability-list/vendor_id-4282/Busybox.html
golang	https://github.com/advisories
java	https://openjdk.java.net/groups/vulnerability/advisories/
github maven	https://github.com/advisories?query=maven
kubernetes	https://kubernetes.io/docs/reference/issues-security/official-cve-feed/
nginx	http://nginx.org/en/security_advisories.html
npm/nodejs	https://github.com/advisories?query=ecosystem%3Anpm
python	https://github.com/pyupio/safety-db
openssl	https://www.openssl.org/news/vulnerabilities.html
ruby	https://github.com/rubysec/ruby-advisory-db

Fuente

URL

.NET

https://github.com/advisories, https://www.cvedetails.com/vulnerability-list/vendor_id-26/

apache

https://www.cvedetails.com/vendor/45/Apache.html

busybox

https://www.cvedetails.com/vulnerability-list/vendor_id-4282/Busybox.html

golang

https://github.com/advisories

java

https://openjdk.java.net/groups/vulnerability/advisories/

github maven

https://github.com/advisories?query=maven

kubernetes

https://kubernetes.io/docs/reference/issues-security/official-cve-feed/

nginx

http://nginx.org/en/security_advisories.html

npm/nodejs

https://github.com/advisories?query=ecosystem%3Anpm

python

https://github.com/pyupio/safety-db

openssl

https://www.openssl.org/news/vulnerabilities.html

ruby

https://github.com/rubysec/ruby-advisory-db

Precisión del escáner

SUSE® Security evalúa cada fuente para determinar la forma más precisa de escanear en busca de vulnerabilidades. Es común que los resultados de escaneo de diferentes escáneres de proveedores devuelvan resultados distintos. Esto se debe a que cada proveedor procesa las fuentes de manera diferente.

Un mayor número de vulnerabilidades detectadas por un escáner no es necesariamente mejor que otro. Esto se debe a que puede haber falsos positivos que devuelven resultados de vulnerabilidad inexactos.

SUSE® Security admite tanto resultados de escaneo en capas como no en capas (compactados) para imágenes. El escaneo en capas muestra vulnerabilidades en cada capa, mientras que el no en capas muestra solo vulnerabilidades en la superficie.

Rendimiento del escáner

Varios factores determinan el rendimiento del escáner. Para el escaneo de registros, el número y tamaño de las imágenes, así como si se está realizando un escaneo en capas, determinarán el rendimiento. Para los escaneos en tiempo de ejecución, la recopilación de datos de contenedores se distribuye entre todos los Enforcers, y luego se programa por el Controlador para la comparación en la base de datos.

Se pueden desplegar múltiples escáneres en paralelo para aumentar el rendimiento del escaneo para un gran número de imágenes. El controlador programará tareas de escaneo entre todos los escáneres. Cada escáner es un contenedor que se despliega mediante una ampliación/replicaset de Kubernetes.