Información detallada sobre vulnerabilidades detectadas
La lista de vulnerabilidades detectadas durante el análisis de las imágenes aparece en formato de tabla en la pestaña Vulnerabilities, en la ventana de resultados de análisis de imágenes. Tendrá la siguiente información sobre cada vulnerabilidad:
- Identificador de la entrada de la vulnerabilidad. El identificador tendrá el formato CVE-YYYY-X…, donde:
- CVE es el prefijo que indica que la vulnerabilidad aparece en la base de datos de vulnerabilidades y fallos de seguridad conocidos.
- YYYY es el año de detección de la vulnerabilidad.
- X… es el número que los entes autorizados asignaron a la vulnerabilidad.
- El nivel de gravedad se basa en su calificación de riesgo.
Si una vulnerabilidad contiene un exploit, el icono de exploit (
) se muestra junta al nivel de gravedad. - Recurso instalado en el contenedor donde se detectó la vulnerabilidad.
- Si existe una corrección del proveedor para la vulnerabilidad. La solución indicará el número de versión que tiene la corrección o si no hay ninguna corrección disponible.
Puede hacer clic en el botón Accept, en la columna Risk acceptance, para aceptar el riesgo de la vulnerabilidad.
Para aceptar riesgos, es necesario tener derechos de gestión de riesgos.
Para ver información detallada sobre una vulnerabilidad detectada:
- Haga clic en el enlace del ID del registro de la vulnerabilidad en una de las siguientes secciones:
- En la pestaña Vulnerabilities, en la ventana de resultados de los análisis de imágenes
- En el bloque Vulnerabilities del panel
- En la tabla que contiene la lista completa de vulnerabilidades en la sección Investigation → Vulnerabilities
- Se abrirá la barra lateral que contiene la siguiente información sobre la vulnerabilidad detectada:
- Identificador de entrada de la vulnerabilidad.
- Descripción de la vulnerabilidad tomada de la base de datos de vulnerabilidades. Dicha descripción estará en el idioma de la base de datos de vulnerabilidades. Por ejemplo, las descripciones de las vulnerabilidades de la NVD aparecen en inglés.
- En la pestaña General information, verá la siguiente información:
- El nivel de gravedad se basa en su calificación de riesgo.
- Recurso instalado donde se detectó la vulnerabilidad.
- La puntuación de la gravedad de vulnerabilidades se basa en el estándar abierto CVSS de las bases de datos de vulnerabilidades de NVD, VDB y RED OS y en la puntuación de la gravedad de vulnerabilidades combinada final.
- En la pestaña Artifacts, verá información detallada sobre los artefactos para imágenes de registros y en ejecución o sobre objetos de CI/CD y la cantidad de artefactos existentes.
En el bloque de la imagen de un registro o en ejecución, se observa la siguiente información:
- Tipo de objeto y nombre de la imagen Image. Si los perfiles automáticos se crean sobre la base de la suma de verificación de esta imagen, aparecerá el icono de perfil automático (
) junto al nombre de la imagen.Si hace clic en el nombre de la imagen, visitará la página que contiene información detallada sobre los resultados del análisis de imágenes.
Para ver información detallada, necesitará los derechos para ver los resultados de los análisis de imágenes.
- Sistema operativo de la imagen.
- Estado del cumplimiento de la imagen: Compliant o Not-compliant.
- Calificación de riesgo.
- Fecha y hora del último análisis de la imagen.
- Fecha y hora de la primera detección de la vulnerabilidad en la imagen.
En el bloque de un objeto de la canalización de CI/CD, se observa la siguiente información:
- Tipo de objeto (que se corresponde con el tipo de artefacto) y nombre del objeto.
Si hace clic en el nombre del artefacto, podrá visitar la página que contiene información detallada sobre los resultados del análisis de objetos en la etapa de compilación del proyecto.
Para ver información detallada, necesita derechos para ver los resultados de los objetos analizados en los procesos de CI/CD.
- Sistema operativo donde se analizó el objeto.
- Estado del cumplimiento de la imagen: Compliant o Not-compliant.
- Calificación de riesgo.
- Fecha y hora del último análisis de objetos.
- Fecha y hora de la primera detección de la vulnerabilidad en el objeto.
- Marca de tiempo del análisis del objeto en un proceso de CI/CD.
- Tipo de objeto y nombre de la imagen Image. Si los perfiles automáticos se crean sobre la base de la suma de verificación de esta imagen, aparecerá el icono de perfil automático (
- En la pestaña Workloads, verá una lista de los pods que contienen imágenes con dicha vulnerabilidad y cuántas hay. Tendrá la siguiente información sobre cada objeto:
- Nombre del clúster que contiene el pod en cuya imagen (o imágenes) se detectó la vulnerabilidad.
- Nombre del espacio de nombres que contiene el pod en cuya imagen se detectó la vulnerabilidad.
Si hace clic en el espacio de nombres, se abrirá el panel lateral del espacio de nombres en el gráfico.
- Nombre del pod en cuya imagen se detectó la vulnerabilidad.
Si hace clic en el espacio de nombres, se abrirá el panel lateral del pod en el gráfico.
- En la pestaña Risk acceptance, verá la siguiente información:
- Fecha de la aceptación de riesgos
- Período de la aceptación de riesgos
- Subconjunto
- Quién inició la aceptación de riesgos
- Motivo de la aceptación de riesgos
Podrá ver la pestaña Risk acceptance si tiene derechos para visualizar riesgos aceptados.
Para cada riesgo aceptado, podrá realizar las siguientes acciones.
- Hacer clic el icono
para configurar la duración de la aceptación del riesgo - Hacer clic en el icono
para cancelar la aceptación de riesgos
En esta pestaña, también podrá hacer clic en el botón Add risk acceptance para añadir una aceptación del riesgo a la vulnerabilidad.
Se requieren derechos de "gestión de riesgos" para editar la configuración de aceptación de riesgos.