CVEデータベースのソースとバージョン

SUSE® Security脆弱性(CVE)データベース

SUSE® Security脆弱性データベースは、一般的に、人気のあるコンテナベースイメージやパッケージプロバイダーからのソースに基づいて、実行可能な限り毎晩更新されます。これらの更新は、自動的にアップデータコンテナに組み込まれ、SUSE® SecurityプライベートDocker Hubレジストリに公開されます。含まれるソースのリストは、スキャン結果の正確性を確保するために頻繁に評価されます。

デプロイメントにおいてCVEデータベースを更新するタイミングを制御できます。更新方法の詳細については、CVEデータベースの更新セクションをご覧ください。

SUSE® Securityは、ディストロレスおよびPhotonOSベースのイメージをスキャンすることができます。

CVEデータベースバージョン

CVEデータベースのバージョンと日付は、資産のコンテナ/ノードのプラットフォーム、レジストリ、脆弱性タブ、およびリスクレポートスキャンイベントのコンソールで確認できます。

REST APIを使用してバージョンを照会するには:

curl -k -H "Content-Type: application/json" -H "X-Auth-Token: $_TOKEN_" "https://127.0.0.1:10443/v1/scan/scanner"

出力:

{
    "scanners": [
        {
            "cvedb_create_time": "2020-07-07T10:34:04Z",
            "cvedb_version": "1.950",
            "id": "0f043705948557828ac1831ee596588a0d050950113117ddd19ecd604982f4d9",
            "port": 18402,
            "server": "127.0.0.1"
        },
        {
            "cvedb_create_time": "2020-07-07T10:34:04Z",
            "cvedb_version": "1.950",
            "id": "9fa02c644d603f59331c95735158d137002d32a75ed1014326f5039f38d4d717",
            "port": 18402,
            "server": "192.168.9.95"
        }
    ]
}

データベースバージョンのためにSUSE® Securityスキャナーを照会するには:

kubectl exec <scanner pod> -n neuvector -- scanner -v -d /etc/neuvector/db/

Dockerコマンドを使用するには:

docker exec scanner scanner -v -d /etc/neuvector/db/

特定のCVEの存在についてCVEデータベースを照会する

オンラインサービスは、SUSE® Security Prime(有料サブスクリプション)顧客がCVEデータベースを照会して、特定のCVEが現在のデータベースバージョンに存在するかどうかを確認できるように提供されています。このサービスからは、他のCVEデータベースの照会も利用可能です。このサービスにアクセスするには、SUSEサポートポータル(SCC)、SUSE Collectiveリンクを通じてアクセスをリクエストするか、SUSEアカウント担当者に連絡してください。

CVEデータベースのソース

最新のCVEデータベースソースのリストは、 こちらで見つけることができます。

ソースには次のものが含まれます:

一般的なCVEフィード

ソース URL

nvdとMitre

https://nvd.nist.gov/general

NVDはCVEのスーパーセットです https://cve.mitre.org/about/cve_and_nvd_relationship.html

OS CVEフィード

ソース URL

alpine

https://secdb.alpinelinux.org/

amazon

https://alas.aws.amazon.com/

debian

https://security-tracker.debian.org/tracker/data/json

Microsoft mariner

https://github.com/microsoft/CBL-MarinerVulnerabilityData

Oracle

https://linux.oracle.com/oval/

Rancher OS

https://rancher.com/docs/os/v1.x/en/about/security/

redhat

https://www.redhat.com/security/data/oval/v2/

SUSE Linux

https://ftp.suse.com/pub/projects/security/oval/

ubuntu

https://launchpad.net/ubuntu-cve-tracker

アプリケーションベースのフィード

ソース URL

.NET

https://github.com/advisories, https://www.cvedetails.com/vulnerability-list/vendor_id-26/

apache

https://www.cvedetails.com/vendor/45/Apache.html

busybox

https://www.cvedetails.com/vulnerability-list/vendor_id-4282/Busybox.html

golang

https://github.com/advisories

java

https://openjdk.java.net/groups/vulnerability/advisories/

github maven

https://github.com/advisories?query=maven

kubernetes

https://kubernetes.io/docs/reference/issues-security/official-cve-feed/

nginx

http://nginx.org/en/security_advisories.html

npm/nodejs

https://github.com/advisories?query=ecosystem%3Anpm

python

https://github.com/pyupio/safety-db

openssl

https://www.openssl.org/news/vulnerabilities.html

Ruby

https://github.com/rubysec/ruby-advisory-db

スキャナーの精度

SUSE® Securityは、脆弱性を最も正確にスキャンする方法を決定するために各ソースを評価します。異なるベンダーのスキャナーからのスキャン結果が異なる結果を返すことは一般的です。これは、各ベンダーがソースを異なる方法で処理するためです。

あるスキャナーによって検出された脆弱性の数が、別のスキャナーよりも必ずしも優れているわけではありません。これは、誤検知があり、正確でない脆弱性結果を返す可能性があるためです。

SUSE® Securityは、イメージのために階層化されたおよび非階層化(圧縮)スキャン結果の両方をサポートしています。階層化されたスキャンは各階層の脆弱性を示し、非階層化スキャンは表面の脆弱性のみを示します。

スキャナーのパフォーマンス

スキャナーのパフォーマンスを決定する要因はいくつかあります。レジストリスキャンの場合、イメージの数とサイズ、ならびに階層化されたスキャンが実行されているかどうかがパフォーマンスを決定します。ランタイムスキャンの場合、コンテナデータの収集はすべてのエンフォーサーに分散され、その後コントローラーによってデータベース比較のためにスケジュールされます。

多数のイメージのスキャンパフォーマンスを向上させるために、複数の並列スキャナーを展開できます。コントローラーはすべてのスキャナーにスキャンタスクをスケジュールします。各スキャナーは、Kubernetesのデプロイメント/レプリカセットによって展開されるコンテナです。