CVE数据库来源与版本

SUSE® Security 漏洞 (CVE) 数据库

SUSE® Security 漏洞数据库通常在夜间更新,具体取决于流行的容器基础镜像和软件包提供者的来源。这些更新会自动构建到更新器容器中,并发布到 SUSE® Security 私有Docker Hub注册表。所包含的来源列表会定期评估,以确保扫描结果的准确性。

您可以控制何时在您的部署中更新CVE数据库。有关如何更新的详细信息,请参见更新CVE数据库部分。

SUSE® Security 能够扫描无发行版和基于PhotonOS的镜像。

CVE数据库版本

CVE数据库版本和日期可以在控制台的资产、风险报告扫描事件中的平台、注册表、漏洞选项卡中查看。

要使用REST API查询版本:

curl -k -H "Content-Type: application/json" -H "X-Auth-Token: $_TOKEN_" "https://127.0.0.1:10443/v1/scan/scanner"

输出:

{
    "scanners": [
        {
            "cvedb_create_time": "2020-07-07T10:34:04Z",
            "cvedb_version": "1.950",
            "id": "0f043705948557828ac1831ee596588a0d050950113117ddd19ecd604982f4d9",
            "port": 18402,
            "server": "127.0.0.1"
        },
        {
            "cvedb_create_time": "2020-07-07T10:34:04Z",
            "cvedb_version": "1.950",
            "id": "9fa02c644d603f59331c95735158d137002d32a75ed1014326f5039f38d4d717",
            "port": 18402,
            "server": "192.168.9.95"
        }
    ]
}

要查询SUSE® Security扫描器的数据库版本:

kubectl exec <scanner pod> -n neuvector -- scanner -v -d /etc/neuvector/db/

要使用docker命令:

docker exec scanner scanner -v -d /etc/neuvector/db/

查询CVE数据库以确定特定CVE的存在

为SUSE® Security Prime(付费订阅)客户提供在线服务,以便查询CVE数据库以确定特定CVE是否存在于当前数据库版本中。此服务还提供其他CVE数据库查询。请通过您的SUSE支持门户(SCC)、SUSE Collective链接或联系您的SUSE客户代表请求访问此服务。

CVE数据库来源

最新的CVE数据库来源列表可以在 这里找到

来源包括:

通用CVE源

URL

nvd和Mitre

https://nvd.nist.gov/general

NVD是CVE的超集 https://cve.mitre.org/about/cve_and_nvd_relationship.html

操作系统CVE源

URL

alpine

https://secdb.alpinelinux.org/

amazon

https://alas.aws.amazon.com/

debian

https://security-tracker.debian.org/tracker/data/json

Microsoft mariner

https://github.com/microsoft/CBL-MarinerVulnerabilityData

Oracle

https://linux.oracle.com/oval/

Rancher OS

https://rancher.com/docs/os/v1.x/en/about/security/

redhat

https://www.redhat.com/security/data/oval/v2/

SUSE Linux

https://ftp.suse.com/pub/projects/security/oval/

ubuntu

https://launchpad.net/ubuntu-cve-tracker

基于应用程序的源

URL

.NET

https://github.com/advisories, https://www.cvedetails.com/vulnerability-list/vendor_id-26/

apache

https://www.cvedetails.com/vendor/45/Apache.html

busybox

https://www.cvedetails.com/vulnerability-list/vendor_id-4282/Busybox.html

golang

https://github.com/advisories

java

https://openjdk.java.net/groups/vulnerability/advisories/

github maven

https://github.com/advisories?query=maven

kubernetes

https://kubernetes.io/docs/reference/issues-security/official-cve-feed/

nginx

http://nginx.org/en/security_advisories.html

npm/nodejs

https://github.com/advisories?query=ecosystem%3Anpm

python

https://github.com/pyupio/safety-db

openssl

https://www.openssl.org/news/vulnerabilities.html

ruby

https://github.com/rubysec/ruby-advisory-db

扫描器准确性

SUSE® Security评估每个源以确定如何最准确地扫描漏洞。来自不同供应商扫描器的扫描结果返回不同结果是很常见的。这是因为每个供应商以不同的方式处理这些源。

一个扫描器检测到的漏洞数量较高并不一定比另一个更好。这是因为可能会出现误报,从而返回不准确的漏洞结果。

SUSE® Security 支持图像的分层和非分层(压缩)扫描结果。分层扫描显示每一层的漏洞,而非分层扫描仅显示表面的漏洞。

扫描器性能

多个因素决定扫描器的性能。对于注册表扫描,图像的数量和大小以及是否执行分层扫描将决定性能。对于运行时扫描,容器数据的收集分布在所有 Enforcer 之间,然后由 Controller 调度进行数据库比较。

可以部署多个并行扫描器,以提高大量图像的扫描性能。控制器将在所有扫描器之间调度扫描任务。每个扫描器都是一个由Kubernetes部署/副本集部署的容器。