Informações sobre as vulnerabilidades detectadas

A lista de vulnerabilidades detectadas durante verificações de imagens é apresentada em uma tabela na guia Vulnerabilities da janela de resultados da verificação da imagem. Para cada vulnerabilidade, as seguintes informações são fornecidas:

ID da entrada de vulnerabilidade (por exemplo, CVE-2025-XXXX ou TEMP-XXXXXXX-XXXXXX).
O nível de gravidade da vulnerabilidade baseado em sua classificação de risco.
Se uma vulnerabilidade tiver um exploit, o ícone de exploit () é exibido ao lado do nível de gravidade.
Recurso conteinerizado instalado no qual a vulnerabilidade foi detectada.
Se o fornecedor disponibilizar uma correção para a vulnerabilidade. A solução mostra o número da versão que contém a correção ou indica que não há correção disponível.
Número de riscos aceitos para a vulnerabilidade. Os seguintes valores podem ser exibidos:
- 0 significa que o risco da vulnerabilidade não foi aceito ou que o objeto está fora do escopo das regras de aceitação de risco aplicáveis.
- N é o número de regras de aceitação de risco criadas que resultaram na aceitação do risco.

Para personalizar a exibição de objetos na tabela, execute uma das seguintes operações:

Ativar ou desativar o botão de alternância Show only exploits. Se ele estiver ativado, somente as vulnerabilidades com exploits serão exibidas na tabela. Se ele estiver desativado, a tabela listará todas as vulnerabilidades detectadas.
No campo de pesquisa acima da tabela, insira o ID da vulnerabilidade ou o recurso. Como resultado da pesquisa, a tabela contém somente objetos que correspondem total ou parcialmente à string de pesquisa.
Clique no ícone de filtro () e configure a exibição de objetos na barra lateral. Você pode configurar a exibição de vulnerabilidades na tabela pelos seguintes parâmetros:
- Pela existência de um exploit da vulnerabilidade.
- Por nível de gravidade ou pontuação.
- Pela existência de uma correção do fornecedor.
- Por aceitação de risco para a vulnerabilidade.
As tags dos filtros aplicados são exibidas acima da tabela de vulnerabilidades.

Você pode exibir as informações detalhadas sobre uma vulnerabilidade detectada clicando no IDS da entrada da vulnerabilidade.

Isso abre a barra lateral com as seguintes informações sobre a vulnerabilidade detectada:

Identificador de entrada da vulnerabilidade
A guia General information exibe o seguinte:
- Descrição da vulnerabilidade do banco de dados de vulnerabilidades. A descrição é fornecida no idioma do banco de dados de vulnerabilidades. Por exemplo, descrições de vulnerabilidade do NVD são mostradas em inglês.
- O nível de gravidade da vulnerabilidade baseado em sua classificação de risco.
- Se uma vulnerabilidade tiver um exploit, o ícone de exploit () é exibido ao lado do nível de gravidade.
- Recurso instalado no qual a vulnerabilidade foi detectada.
- A pontuação de gravidade da vulnerabilidade com base no padrão aberto CVSS nos bancos de dados de vulnerabilidades NVD , Banco de Dados de Ameaças à Segurança de Dados e RED OS , a pontuação de gravidade da vulnerabilidade consolidada final, bem como a descrição da exploração (se a vulnerabilidade contiver uma exploração).
  
  O sistema operacional de uso geral russo RED OS tem suporte à verificação de vulnerabilidades que podem ameaçar o funcionamento de serviços e estações de trabalho.
  
  O Banco de Dados de Ameaças à Segurança de Dados (BDU) é um repositório de vulnerabilidades mantido pelo Serviço Federal de Controle Técnico e de Exportação (FSTEC) da Rússia.
  
  O Banco de Dados Nacional de Vulnerabilidades é o repositório de dados de gerenciamento de vulnerabilidades baseado em padrões do governo dos Estados Unidos, representado pelo uso do Protocolo de Automação de Conteúdo de Segurança.
  
  Sistema de Pontuação de Vulnerabilidade Comum é um padrão aberto para a pontuação de vulnerabilidades. O CVSS define um conjunto de métricas e fórmulas para calcular a gravidade das vulnerabilidades, com pontuações que vão de 0 (mínimo) a 10 (máximo). O CVSS possibilita alocar esforços de resposta a vulnerabilidades com base na gravidade delas.
A guia Artifacts exibe informações detalhadas sobre artefatos de imagens de registros e a objetos do tempo de execução ou de CI/CD, além de indicar a quantidade de artefatos.
O bloco relativo a uma imagem de um registro ou tempo de execução mostra as seguintes informações:
- Se perfis automáticos tiverem sido criados com base na soma de verificação da imagem, o ícone de perfil automático () aparece ao lado do nome da imagem.
- Sistema operacional da imagem.
- Status de conformidade da imagem: Compliant ou Not-compliant.
- Classificação de risco.
- Data e hora da última verificação da imagem
- Data e hora da primeira vez que a vulnerabilidade foi detectada na imagem.
O bloco de um objeto do pipeline de CI/CD mostra as seguintes informações:
- Artefato e o nome do artefato.
  Clicar no nome do artefato direciona você à página que contém informações detalhadas sobre os resultados da verificação de objetos na etapa de compilação do projeto.
  
  Para acessar as informações detalhadas, é preciso ter permissão para visualizar os resultados da verificação de objetos nos processos de CI/CD.
- Sistema operacional em que o objeto foi verificado.
- Status de conformidade da imagem: Compliant ou Not-compliant.
- Classificação de risco.
- Data e hora da última verificação de objetos
- Data e hora da primeira vez que a vulnerabilidade foi detectada no objeto.
- Carimbo de data e hora da verificação do objeto num processo de CI/CD.
A guia Workloads exibe uma lista de pods que contêm as imagens com a vulnerabilidade e a quantidade deles. Para cada objeto, as seguintes informações são fornecidas:
- Nome do namespace que contém o pod cuja imagem apresenta a vulnerabilidade detectada.
  Ao clicar no nome do namespace, a solução abre o painel lateral do namespace do gráfico.
- Nome do pod cuja imagem apresenta a vulnerabilidade detectada.
  Ao clicar no nome do namespace, a solução abre o painel lateral do pod do gráfico.
Você pode baixar as informações sobre uma vulnerabilidade ou malware no formato .CSV clicando em Download *.CSV.
A guia Risk acceptance exibe as seguintes informações:
- Data de aceitação de risco.
- Período de aceitação de risco.
- Subconjunto.
- Objeto para o qual o risco é aceito (por exemplo, repositório, imagem ou artefato).
- Pessoa que iniciou a aceitação de riscos.
- Motivo da aceitação de riscos.
A guia Risk acceptance está disponível caso você tenha direitos de visualização de riscos aceitos.

Para cada risco aceitado, é possível:
- Clicar no ícone para definir a duração da aceitação de riscos.
- Clicar no ícone para cancelar a aceitação de riscos.
A guia também permite clicar no botão Add risk acceptance para adicionar uma aceitação de risco à vulnerabilidade.

São necessários direitos de "gerenciamento de riscos" para editar as configurações de aceitação de riscos.

Topo da página