OpenShift 4 - Red Hat 是如何对容器镜像的安全风险进行评估分级的

《OpenShift / RHEL / DevSecOps 汇总目录》

文章目录

  • RedHat 对 CVE 的风险级别的评级
    • 通用漏洞评分系统 CVSS
    • 红帽严重性分级
  • RedHat 对容器镜像的整体风险的分级

云原生应用的运行载体是容器镜像,因此容器镜像的安全便是云原生应用安全的关键因素。为此,RedHat 基于运行在一个容器镜像中的软件包含的 CVE 数量以及风险级别来评估该容器镜像的安全。另外,基于 Red Hat 官方提供的容器镜像前一次做安全扫描和漏洞修复时间,RedHat 还将容器镜像的安全分为多个分级。

RedHat 对 CVE 的风险级别的评级

CVE - Common Vulnerabilities and Exposures (即通用漏洞和风险)用来在全球范围内统一描述漏洞的字典,它为每个漏洞确定了唯一的编号和一致的说明描述。

RedHat 产品使用了 “红帽严重性分级”来评估 CVE 的风险级别。红帽严重性分级主要参考了 NVD 对该 CVE 的 CVSS 基础打分,不过 RedHat 针对自己产品的受影响程严重度进行了重新评估打分。

通用漏洞评分系统 CVSS

CVSS - Common Vulnerability Scoring System(即通用漏洞评分系统)是目前使用最为广泛的对 CVE 风险评级打分的方法。CVSS 3.0 评分规范首先从 8 个方面对一个安全漏洞的风险进行综合评估,从而得到 0 - 10 的基础分。然后再根据 CVSS 得分将该 CVE 的风险级别分为 Critical - 严重(9.0分 -10.0 分)、High - 高(7.0分 -8.9 分)、Medium - 中(4.0分 -6.9 分)、Low - 低(0分 -3.9 分)四个级别。
OpenShift 4 - Red Hat 是如何对容器镜像的安全风险进行评估分级的_第1张图片

红帽严重性分级

“红帽严重性分级”参考了 NVD 对该 CVE 的 CVSS 基础打分,不过 RedHat 针对自己产品的受影响程严重度进行了重新评估打分。例如如果 CVE 只针对 Windows 操作系统,RedHat 就会适当调低该 CVE的风险得分。

根据 RedHat 调整后的打分,“红帽严重性分级”同样分为四个等级来说明一个 CVE 的严重程度,即 Critical - 严重、Important - 重要、Moderate - 中级、Low - 低级。“红帽严重性分级”一方面是 RedHat 对 CVE 严重性的分级,另一方面也是 RedHat 修复产品安全漏洞的优先级标准。其中 Critical 和 Important 是 RedHat 建议重点关注的 CVE,用户须尽早修复。
OpenShift 4 - Red Hat 是如何对容器镜像的安全风险进行评估分级的_第2张图片

RedHat 对容器镜像的整体风险的分级

针对容器镜像,RedHat 提供了健康度的分级。分级是根据在镜像漏洞中包含 Critical 和 Important 级别的漏洞有多久没有扫描并修复分为从 A 到 F 六个级别。
OpenShift 4 - Red Hat 是如何对容器镜像的安全风险进行评估分级的_第3张图片

A级:该镜像不包含可修复的 Critical 和 Important 的漏洞。

B级:该镜像受到 Critical(不超过7天)或 Important(不超过30天)安全更新的影响。

C级:该镜像受到 Critical(不超过30天)或 Important(不超过90个月)安全更新的影响。

D级:该镜像受到 Critical(不超过90天)或 Important(不超过12个月)安全更新的影响。

E级:该镜像受到 Critical 或 Important(不超过12个月)安全更新的影响。

F级:该镜像受到 Critical 或 Important(超过12个月)安全更新的影响。

你可能感兴趣的:(openshift,安全)