OpenShift 4 - Red Hat 是如何对容器镜像的安全风险进行评估分级的

《OpenShift / RHEL / DevSecOps 汇总目录》

云原生应用的运行载体是容器镜像，因此容器镜像的安全便是云原生应用安全的关键因素。为此，RedHat 基于运行在一个容器镜像中的软件包含的 CVE 数量以及风险级别来评估该容器镜像的安全。另外，基于 Red Hat 官方提供的容器镜像前一次做安全扫描和漏洞修复时间，RedHat 还将容器镜像的安全分为多个分级。

RedHat 对 CVE 的风险级别的评级

CVE - Common Vulnerabilities and Exposures （即通用漏洞和风险）用来在全球范围内统一描述漏洞的字典，它为每个漏洞确定了唯一的编号和一致的说明描述。

RedHat 产品使用了 “红帽严重性分级”来评估 CVE 的风险级别。红帽严重性分级主要参考了 NVD 对该 CVE 的 CVSS 基础打分，不过 RedHat 针对自己产品的受影响程严重度进行了重新评估打分。

通用漏洞评分系统 CVSS

CVSS - Common Vulnerability Scoring System（即通用漏洞评分系统）是目前使用最为广泛的对 CVE 风险评级打分的方法。CVSS 3.0 评分规范首先从 8 个方面对一个安全漏洞的风险进行综合评估，从而得到 0 - 10 的基础分。然后再根据 CVSS 得分将该 CVE 的风险级别分为 Critical - 严重（9.0分 -10.0 分）、High - 高（7.0分 -8.9 分）、Medium - 中（4.0分 -6.9 分）、Low - 低（0分 -3.9 分）四个级别。

红帽严重性分级

“红帽严重性分级”参考了 NVD 对该 CVE 的 CVSS 基础打分，不过 RedHat 针对自己产品的受影响程严重度进行了重新评估打分。例如如果 CVE 只针对 Windows 操作系统，RedHat 就会适当调低该 CVE的风险得分。

根据 RedHat 调整后的打分，“红帽严重性分级”同样分为四个等级来说明一个 CVE 的严重程度，即 Critical - 严重、Important - 重要、Moderate - 中级、Low - 低级。“红帽严重性分级”一方面是 RedHat 对 CVE 严重性的分级，另一方面也是 RedHat 修复产品安全漏洞的优先级标准。其中 Critical 和 Important 是 RedHat 建议重点关注的 CVE，用户须尽早修复。

RedHat 对容器镜像的整体风险的分级

针对容器镜像，RedHat 提供了健康度的分级。分级是根据在镜像漏洞中包含 Critical 和 Important 级别的漏洞有多久没有扫描并修复分为从 A 到 F 六个级别。

A级：该镜像不包含可修复的 Critical 和 Important 的漏洞。

B级：该镜像受到 Critical（不超过7天）或 Important（不超过30天）安全更新的影响。

C级：该镜像受到 Critical（不超过30天）或 Important（不超过90个月）安全更新的影响。

D级：该镜像受到 Critical（不超过90天）或 Important（不超过12个月）安全更新的影响。

E级：该镜像受到 Critical 或 Important（不超过12个月）安全更新的影响。

F级：该镜像受到 Critical 或 Important（超过12个月）安全更新的影响。