Sources et version de la base de données CVE

SUSE® Security Base de données des vulnérabilités (CVE)

La SUSE® Security base de données des vulnérabilités est généralement mise à jour chaque nuit, dans la mesure du possible, en fonction des sources d’images de base de conteneurs populaires et de fournisseurs de paquets. Ces mises à jour sont automatiquement intégrées dans le conteneur de mise à jour et publiées dans le SUSE® Security registre docker privé. La liste des sources incluses est évaluée fréquemment pour garantir l’exactitude des résultats de scan.

Vous contrôlez quand mettre à jour la base de données CVE dans votre déploiement. Veuillez consulter la section Mise à jour de la base de données CVE pour des détails sur la façon de mettre à jour.

SUSE® Security est capable de scanner des images basées sur distroless et PhotonOS.

Version de la base de données CVE

La version de la base de données CVE et la date peuvent être consultées dans la console dans l’onglet Plates-formes, Registres, Vulnérabilités dans Conteneurs/Nœuds dans Actifs, et Événements de scan des rapports de risque.

Pour utiliser l’API REST afin d’interroger la version :

curl -k -H "Content-Type: application/json" -H "X-Auth-Token: $_TOKEN_" "https://127.0.0.1:10443/v1/scan/scanner"

Sortie :

{
    "scanners": [
        {
            "cvedb_create_time": "2020-07-07T10:34:04Z",
            "cvedb_version": "1.950",
            "id": "0f043705948557828ac1831ee596588a0d050950113117ddd19ecd604982f4d9",
            "port": 18402,
            "server": "127.0.0.1"
        },
        {
            "cvedb_create_time": "2020-07-07T10:34:04Z",
            "cvedb_version": "1.950",
            "id": "9fa02c644d603f59331c95735158d137002d32a75ed1014326f5039f38d4d717",
            "port": 18402,
            "server": "192.168.9.95"
        }
    ]
}

Pour interroger le SUSE® Security scanner pour la version de la base de données :

kubectl exec <scanner pod> -n neuvector -- scanner -v -d /etc/neuvector/db/

Pour utiliser des commandes docker :

docker exec scanner scanner -v -d /etc/neuvector/db/

Interrogation de la base de données CVE pour l’existence d’un CVE spécifique

Un service en ligne est fourni pour les clients SUSE® Security Prime (abonnement payant) afin de pouvoir interroger la base de données CVE pour déterminer si un CVE spécifique existe dans la version actuelle de la base de données. D’autres requêtes de base de données CVE sont également disponibles via ce service. Veuillez demander l’accès via votre portail de support SUSE (SCC), le lien SUSE Collective, ou contacter votre représentant de compte SUSE pour accéder à ce service.

Sources de la base de données CVE

La liste la plus à jour des sources de la base de données CVE peut être trouvée ici

Les sources incluent :

Flux CVE généraux

Source URL

nvd et Mitre

https://nvd.nist.gov/general

NVD est un sur-ensemble de CVE https://cve.mitre.org/about/cve_and_nvd_relationship.html

Flux CVE OS

Source URL

alpine

https://secdb.alpinelinux.org/

amazon

https://alas.aws.amazon.com/

debian

https://security-tracker.debian.org/tracker/data/json

Microsoft mariner

https://github.com/microsoft/CBL-MarinerVulnerabilityData

Oracle

https://linux.oracle.com/oval/

Rancher OS

https://rancher.com/docs/os/v1.x/en/about/security/

redhat

https://www.redhat.com/security/data/oval/v2/

SUSE Linux

https://ftp.suse.com/pub/projects/security/oval/

ubuntu

https://launchpad.net/ubuntu-cve-tracker

Flux basés sur l’application

Source URL

.NET

https://github.com/advisories, https://www.cvedetails.com/vulnerability-list/vendor_id-26/

apache

https://www.cvedetails.com/vendor/45/Apache.html

busybox

https://www.cvedetails.com/vulnerability-list/vendor_id-4282/Busybox.html

golang

https://github.com/advisories

java

https://openjdk.java.net/groups/vulnerability/advisories/

github maven

https://github.com/advisories?query=maven

kubernetes

https://kubernetes.io/docs/reference/issues-security/official-cve-feed/

nginx

http://nginx.org/en/security_advisories.html

npm/nodejs

https://github.com/advisories?query=ecosystem%3Anpm

python

https://github.com/pyupio/safety-db

openssl

https://www.openssl.org/news/vulnerabilities.html

ruby

https://github.com/rubysec/ruby-advisory-db

Précision du scanner

SUSE® Security évalue chaque source pour déterminer comment scanner le plus précisément possible les vulnérabilités. Il est courant que les résultats de scan provenant de scanners de différents fournisseurs retournent des résultats différents. Cela est dû au fait que chaque fournisseur traite les sources différemment.

Un nombre plus élevé de vulnérabilités détectées par un scanner n’est pas nécessairement meilleur qu’un autre. Cela est dû à la possibilité de faux positifs qui retournent des résultats de vulnérabilités inexactes.

SUSE® Security prend en charge à la fois les résultats de scan en couches et non en couches (compactés) pour les images. Le scan en couches montre les vulnérabilités dans chaque couche, tandis que le scan non en couches montre uniquement les vulnérabilités à la surface.

Performance du scanner

Un certain nombre de facteurs déterminent la performance du scanner. Pour le scan de registre, le nombre et la taille des images ainsi que le fait qu’un scan par couche soit effectué détermineront les performances. Pour les scans en temps réel, la collecte des données des conteneurs est répartie sur tous les Enforcers, puis programmée par le Contrôleur pour la comparaison avec la base de données.

Plusieurs scanners parallèles peuvent être déployés pour augmenter les performances de l’analyse pour un grand nombre d’images. Le contrôleur programmera les tâches d’analyse sur tous les scanners. Chaque scanner est un conteneur qui est déployé par un déploiement/replicaset Kubernetes.