在這個正在進行的KubeClarity 部落格系列的前一部分中,我們深入研究了多個 SBOM 整合的概念,它可以全面了解組件譜系、版本和供應商。本文將重點介紹 KubeClarity 漏洞掃描與生成的 SBOM 的集成,以產生影響您的部署的漏洞以及如何處理這些漏洞的詳細見解。
讓我們進一步探討漏洞掃描,以及可用於更好地控制安全威脅的關鍵漏洞掃描工具。
圖 1:漏洞掃描程式與 KubeClarity 集成
在我們深入研究主題之前,您可以快速了解 SBOM 以及 SBOM 如何作為漏洞掃描程式的重要輸入,從而引導您獲得富有洞察力的網路安全風險管理報告。
KubeClarity 提供了像其他解決方案一樣整合漏洞掃描器的傳統方法,並且還提供了多掃描器整合的高級功能。此外,在我們繼續下一步之前,快速回顧架構和產生 SBOM 的兩階段方法(其中涉及掃描和建立漏洞圖)將是有益的。
假設您已經充分掌握了 SBOM(軟體物料清單)整合流程,那麼讓我們專注於進行漏洞掃描的第二階段,如下圖 2 所示。在這篇文章中,我們將深入 研究此階段的細微差別,並分享有關如何透過實施已知修復來有效解決漏洞的寶貴見解。該帖子還將介紹單掃描器和多掃描器整合選項作為實踐練習。
圖 2:兩階段漏洞掃描方法
使用多掃描器架構進行漏洞掃描
KubeClarity 的漏洞掃描利用靈活的基礎設施,支 波蘭電話號碼數據 援多個掃描器的配置和同時操作。就像我們在上一篇關於多 SBOM 整合的文章中提到的 SBOM 內容分析器的可插拔性質一樣,KubeClarity 中的掃描器被設計為並行工作,遵循相同的模型。
在下面的圖 3 中,您可以觀察漏洞掃描場,它接收傳入的 SBOM 並對其進行預處理,以符合每個掃描程式的特定格式要求。請務必注意,每個掃描器可能有不同的類型和獨特的格式期望。掃描器分析傳入的資料並以其本機格式產生漏洞輸出。
圖 3:多掃描器架構
KubeClarity 的非凡之處在於它能夠合併不同掃描器報告的漏洞,將它們協調成格式一致且經過校準的漏洞報告,其中包括嚴重程度、來源和可用修復。這些報告作為有價值的輸出,允許用戶過濾並關注特定的漏洞領域,以便進一步調查和解決。
原始碼
請隨意探索與漏洞掃描器整合相關的程式碼,因為其中大部分都可以在共享 包。花點時間檢查和深入研究它,以更好地理解實現細節。下面的圖 4提供了程式碼的全面概述,可以快速瀏覽其結構和組件。
圖 4:漏洞掃描程式原始碼佈局
整合漏洞掃描工具:實踐練習
KubeClarity 提供兩種漏洞掃描方法:使用者介面 (UI) 和命令列介面 (CLI)。讓我們先從 UI 開始深入研究這兩個選項。
選項 1:使用 UI 進行漏洞掃描
若要開始使用 KubeClarity 使 與領先的應用程式開發公司一起改善業務運作:dxb apps 用者介面,請執行以下步驟。按照這些部落格文章中概述的安裝說明在您的系統中部署 KubeClarityKubernetes 叢集 或本地碼頭環境。
成功部署 KubeClarity 後,就可以存取使用者介面了。該部落格文章提供了有關如何執行此操作的詳細說明,因此請參閱它。進入 UI 後,您可以按照指 資料庫資料庫 南啟動掃描。再次,請查看安裝博客,以獲取有關安裝過程以及如何開始掃描的更全面的指南。
您也可以使用以下命令在本地運行 KubeClarityDocker 或 Kind Clusters 並用合成資料填滿它。此選項可讓您探索漏洞並熟悉漏洞報告系統的基本結構。無論您是否使用合成數據,KubeClarity 都會在其報告中提供相同級別的詳細信息,因此任一選項都將提供有價值的見解。
KubeClarity將根據指定的參數執行漏洞掃描,利用其廣泛的漏洞資料庫來識別潛在風險。掃描完成後,讓我們來看看漏洞掃描報告。
下面的圖 5顯示了漏洞視圖,顯示了關鍵詳細信息,例如漏洞名稱、嚴重性、來源包、可用修復以及報告漏洞的掃描程序的歸屬。您可以花時間徹底探索漏洞並熟悉其特徵。下一步,您可以點擊這些欄位中的任何一個來存取更深入的資訊並深入研究下一個層級的詳細資訊。
圖 5:KubeClarity UI 中的漏洞視圖
下面顯示的圖 6是當您按一下上述清單中的「漏洞名稱」項目時出現的螢幕說明範例。此視圖提供了所選漏洞的詳細資訊和更深入的了解。花點時間探索這個詳細視圖中呈現的豐富見解。觀察此視圖中「漏洞詳細資料」右側的「CVSS」選項卡,讓我們準備好點擊下一步。
圖 6:KubeClarity UI 中的漏洞詳細資料視圖
下面的圖 7顯示了 CVSS 分數的詳細視圖以及掃描過程中報告的其他有價值的詳細資訊。
圖 7:CVSS 詳細資訊深入視圖
接下來,導航回漏洞視圖並探索過濾選項,如圖 8 所示。
圖 8:漏洞視圖中的篩選選項
接下來,圖 9顯示了儀表板視圖,您可以在其中深入了解漏洞趨勢並對可修復的漏洞採取行動。整個漏洞掃描過程的最終目標是清楚地了解最關鍵和相關的漏洞,並及時解決它們。透過 KubeClarity 使用者介面,您可以了解此過程如何變得有意義和無價。還有許多其他選項和功能可供探索,我鼓勵您自行發現。探索遠方!
選項 2:透過 CLI 進行漏洞掃描
安裝 KubeClarity CLI:安裝 KubeClarity CLI 工具。有關安裝 CLI的說明,請參閱 GitHub 儲存庫上的 KubeClarity 文件。
執行漏洞掃描:使用 KubeClarity CLI,您可以透過執行適當的命令來掃描漏洞。 CLI 提供了靈活性和自動化功能,可將漏洞掃描整合到現有工作流程或 CI/CD 管道中。該工具允許掃描影像、目錄、檔案或先前產生的 SBOM。
以下是啟動漏洞掃描的 CLI 命令範例:
輸出範例
KubeClarity 使用Grype和Dependency-Track 作為其預設漏洞掃描程序,但它提供了合併其他掃描程序並相應執行掃描的靈活性。此功能是 KubeClarity 的關鍵優勢,因為它可以同時執行多個掃描器並整合其結果。讓我們利用這個功能,嘗試一下,並透過將Trivy 加入其中來檢查結果。
您可以查看查看自述文件, 以了解有關將掃描結果匯出至 KubeClarity 後端的更多選項,並在使用者友善的儀表板中瀏覽漏洞。
分析漏洞掃描結果
您可能已經注意到,KubeClarity UI 和 CLI 選項提供全面的漏洞掃描結果。這些結果突顯了已識別的漏洞及其嚴重程度,並提供了修復建議。使用 UI 或 CLI 命令存取和分析掃描結果,以有效確定優先順序並解決偵測到的漏洞。
下圖 10 說明了 KubeClarity 如何組織掃描結果資料。它允許您透過自上而下或自下而上向下鑽取來追蹤結果。
給定一個漏洞,它屬於哪個套件?哪些應用程式資源與該套件相關,最後,它們屬於哪些應用程式。
給定一個應用程序,您能向我展示它的所有資源、軟體包和漏洞嗎?
圖 10:連結資源的漏洞圖
充分利用漏洞掃描工具
透過利用 KubeClarity 的漏洞掃描功能,您可以增強 Kubernetes 叢集的安全性,並透過專注於最重要的漏洞來顯著減少漏洞膨脹。無論是使用使用者介面 (UI) 還是命令列介面 (CLI),KubeClarity 都使您能夠主動識別並減輕 Kubernetes 環境中的潛在安全風險。現在您可以利用 KubeClarity 進行漏洞掃描並改善您的安全狀況。