Container Vulnerability Response erkunden

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Die Container Vulnerability Response Anwendung importiert angreifbare Container-Elemente (CVITs). Gemäß den Regeln können Sie mit der Funktion die Container-Schwachstellen beheben. Container Vulnerability Response Ist über ein separates Abonnement verfügbar.

    Im Gegensatz zu herkömmlichen Anwendungen paketieren Container alle Anwendungsquellcodes zusammen mit ihren Abhängigkeiten in einer Binärdatei, die als Container-Image bezeichnet wird. Das Image wird in einer Registrierung veröffentlicht, um eine Option zur Ausführung dieses Image als Anwendung oder Containerinstanz auf einer beliebigen Plattform bereitzustellen. Die Phasen in einem Container-Lebenszyklus vor der Bereitstellung lauten wie folgt:
    1. Container-Image verfassen: Das Container-Image wird erstellt und verweist auf einen Quellcode oder eine abhängige Bibliothek.
    2. Containerimage erstellen
    3. Container-Image veröffentlichen: Die Container-Image-Datei wird in einer Registrierung veröffentlicht. Jedes Bild hat eine eigene eindeutige ID basierend auf dem Inhalt des Bilds. Diese Images werden nach der Bereitstellung aus der Registrierung in die Laufzeitumgebung abgerufen. Die Images werden dann als Containerinstanzen auf dem Host in der Produktionsumgebung ausgeführt.

    Container-Images werden gescannt

    Ein Container-Image kann entweder vor oder nach der Bereitstellung auf Schwachstellen gescannt werden. Wenn Container-Images während der Phase vor der Bereitstellung gescannt werden, erhalten Sie möglicherweise viele Schwachstellenwarnungen, die möglicherweise nicht sofort Ihre Aufmerksamkeit erfordern. Das Scannen auf Schwachstellen während der Phase nach der Bereitstellung bietet jedoch größere Vorteile, z. B. die folgenden:
    • Transparenz des mit den bereitgestellten Anwendungen verbundenen Risikos.
    • Bietet eine fokussierte Ansicht nur auf die Images in der Produktionsumgebung.
    • Identifizierung und Priorisierung der Schwachstellen, auf die sofort reagiert werden muss.
    • Gruppierung und Zuweisung von Schwachstellen basierend auf den Metadaten des Bilds. Zum Beispiel können ein Bild-Repository, eine Image-Bezeichnung und andere Attribute im Zusammenhang mit dem Container-Image für Gruppierungs- und Zuweisungsregeln verwendet werden.
    Jedes Container-Image enthält die folgenden Schlüsselkomponenten:
    • Container oder Image-Repository: Stellt das Docker-Image mit einem bestimmten Repository oder Namen dar. Er hostet alle Versionen des Image.
    • Docker-Image: Stellt eine bestimmte Version des Build-Docker-Images dar.
    • Docker-Container: Stellt eine laufende Instanz des Docker-Images dar. Jede Version hat eine eindeutige ID und mehrere Instanzen der Container, die in der Produktionsumgebung ausgeführt werden.

    Container Vulnerability Response Module

    Die Container Vulnerability Response Das Modul enthält Details zu folgenden Themen:
    Angreifbare Container-Elemente
    Die angreifbaren Container-Elemente (CVITs) werden basierend auf Zuweisung, Relevanz, Ausnutzbarkeit und Korrekturstatus gruppiert und aufgelistet.
    Bibliotheken
    Erhalten Sie Zugriff auf die National Vulnerability Database (NVD) und Bibliotheken von Drittanbietern. Während die NVD-Bibliothek Informationen enthält, die auf die ID des Schwachstellenelements beschränkt sind, enthält die Drittparteibibliothek die meisten Details zu einem Schwachstellenelement. Informationen im NVD-Bildschirm werden nur ausgefüllt, wenn die NVD-Integration ausgelöst wird.
    Administration
    Das Administrationsmodul enthält Informationen zu den Zuweisungsregeln der angreifbaren Elemente, Korrekturzielregeln und Container-Schwachstellenintegrationen. Darüber hinaus können Sie auch die Dauer konfigurieren, nach der ein angreifbares Element automatisch geschlossen werden soll. Sie können den Abschnitt VI-Granularität konfigurieren verwenden, um die Granularität von CVITs zu konfigurieren, indem Sie die Schlüsselkombinationen angeben. Standardmäßig wird ein CVIT für eine Kombination aus einem Image-Repository, einem Image-Tag und einer Schwachstelle erstellt. Sie können dem Schlüssel zusätzliche Komponenten hinzufügen, um eine weitere Granularität zu erzielen. Sie können beispielsweise ein CVIT für eine Kombination aus Image-Repository, Image-Tag, Schwachstelle und Cluster erstellen.

    Verfügbare Versionen

    Freigabeversion Release-Hinweise

    Container Vulnerability Response v2.1

    Container Vulnerability Response v 2,06

    Container Vulnerability Response V2.0.4

    		 Release-Hinweise für Container Vulnerability Response

    Informationen zur Kompatibilität finden Sie unter KB0856498 Vulnerability Response-Kompatibilitätsmatrix und Änderungen am Release-Schema .