AKS 취약성 데이터 API는 AKS 관리형 플랫폼 구성 요소에서 검색된 취약성에 대한 프로그래밍 방식의 읽기 전용 가시성을 제공합니다. 이 API는 특정 클러스터 런타임 상태와 관계없이 AKS 관리 아티팩트에 영향을 주는 취약성에 대한 신뢰할 수 있는 정보가 필요한 보안 팀, 규정 준수 팀 및 플랫폼 소유자 를 위한 것입니다.
이 문서에서는 AKS 취약성 데이터 API를 사용하여 AKS 릴리스, Kubernetes 버전, 노드 이미지, 컨테이너 이미지 및 OS 패키지를 포함하여 AKS 관리 아티팩트용 CVE 보고서를 프로그래밍 방식으로 검색하는 방법을 알아봅니다. API 요청의 예를 제공하고, 대규모 CVE 분석, 자동화 및 보안 스캐너 결과와의 상관 관계를 지원하기 위해 응답을 해석하는 방법을 보여 줍니다. API의 개념에 대한 개요는 Vulnerability Data API for AKS(Azure Kubernetes Service) 개요 참조하세요.
CVE 보고서 쿼리
다음 예제에서는 AKS 취약성 데이터 API를 쿼리하여 AKS 릴리스, Kubernetes 버전, 노드 이미지, 컨테이너 이미지 및 OS 패키지에 대한 CVE 보고서를 검색하는 방법을 보여 줍니다.
AKS 릴리스에 대한 CVE 조회
# 1. List available AKS releases
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-releases/_index | jq '.aks_release_versions'
# 2. Get CVE report for a specific release
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-releases/v20260104/scan-reports | jq '.'
Kubernetes 버전에 대한 CVE 쿼리
# 1. List available Kubernetes versions
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-k8s-releases/_index | jq '.k8s_versions'
# 2. Get CVE report for a specific Kubernetes version
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-k8s-releases/1.32.9/scan-reports | jq '.'
노드 이미지(VHD)의 CVE 조회
# 1. List available VHD releases
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-releases/_index | jq '.vhd_release_versions'
# 2. Get CVE report for a specific VHD
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-releases/AKSUbuntu-gen2-2204containerd/202601.13.0/scan-reports | jq '.'
특정 컨테이너 이미지에 대한 CVE 쿼리
# Get CVE scan report for a specific tagged container image
curl -s https://cve-api.prod-aks.azure.com/api/v1/container-images/mcr.microsoft.com/oss/kubernetes/kube-proxy:v1.31.11/scan-reports | jq '.'
# Get CVE mitigation history for a container image repository
curl -s https://cve-api.prod-aks.azure.com/api/v1/container-images/mcr.microsoft.com/oss/kubernetes/kube-proxy/mitigation-reports | jq '.'
특정 OS 패키지에 대한 CVE 쿼리
# Get CVE scan report for a specific OS package version
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-packages/openssl/3.0.2-0ubuntu1.20/scan-reports | jq '.'
# Get CVE mitigation history for an OS package
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-packages/openssl/mitigation-reports | jq '.'
엔드포인트
AKS 취약성 데이터 API는 AKS 릴리스, Kubernetes 버전, 노드 이미지, 컨테이너 이미지 및 OS 패키지에 대한 CVE 보고서를 검색하기 위한 엔드포인트를 노출합니다. 각 엔드포인트는 사용 가능한 버전의 인덱스 또는 특정 버전 또는 아티팩트에 대한 자세한 검사 보고서에 대한 액세스를 제공합니다. 다음 섹션에서는 각 엔드포인트, 사용 가능한 작업 및 예상된 요청 및 응답 형식에 대해 설명합니다.
AKS 릴리스
AKS 릴리스 인덱스 가져오기
다음 엔드포인트는 사용 가능한 CVE 보고서가 있는 모든 AKS 릴리스 버전의 인덱스를 반환합니다.
GET /api/v1/aks-releases/_index
요청 예제:
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-releases/_index
응답 예제:
{
"aks_release_versions": [
"v20250427",
"v20250519",
"v20250617",
"v20250720",
"v20250808",
"v20250829",
"v20250921",
"v20251012",
"v20260104"
],
"report_time": "2026-01-27T16:19:36.181877605Z"
}
응답 필드:
| Field | Type | Description |
|---|---|---|
aks_release_versions |
string[] | 시간순으로 정렬된 사용 가능한 AKS 릴리스 버전 |
report_time |
string(ISO 8601) | 이 인덱스가 마지막으로 생성된 경우 |
AKS 릴리스 CVE 보고서 가져오기
다음 엔드포인트는 시스템 네임스페이스의 모든 컨테이너 이미지, 활성 CVE 및 이전 릴리스와 비교하여 CVE의 델타를 포함하여 특정 AKS 릴리스 버전에 대한 자세한 CVE 보고서를 반환합니다.
GET /api/v1/aks-releases/{version}/scan-reports
경로 매개 변수:
| 매개 변수 | Type | Description | Example |
|---|---|---|---|
version |
string | 인덱스에서 AKS 릴리스 버전 | v20260104 |
요청 예제:
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-releases/v20260104/scan-reports
예제 응답(약어):
{
"aks_release_version": "v20260104",
"previous_aks_release_version": "v20251012",
"container_targets": [
{
"pod_namespace": "kube-system",
"container_name": "coredns",
"active_container_images": {
"image_repo_tags": [
"mcr.microsoft.com/oss/v2/kubernetes/coredns:v1.9.4-9"
],
"image_repo_digests": [
"mcr.microsoft.com/oss/v2/kubernetes/coredns:v1.9.4-9@sha256:718de5d12a..."
]
},
"active_cves": [
{"id": "CVE-2025-47914"},
{"id": "CVE-2025-58181"},
{"id": "CVE-2025-61727"},
{"id": "CVE-2025-61729"}
],
"removed_container_images_from_previous_release": {
"image_repo_tags": [],
"image_repo_digests": []
},
"mitigated_cves_from_previous_release": []
},
{
"pod_namespace": "gatekeeper-system",
"container_name": "azure-policy-audit",
"active_container_images": {
"image_repo_tags": [
"mcr.microsoft.com/azure-policy/policy-kubernetes-audit:1.15.3"
],
"image_repo_digests": [
"mcr.microsoft.com/azure-policy/policy-kubernetes-audit:1.15.3@sha256:67745758..."
]
},
"active_cves": [
{"id": "CVE-2025-61727"},
{"id": "CVE-2025-61729"}
],
"removed_container_images_from_previous_release": {
"image_repo_tags": [
"mcr.microsoft.com/azure-policy/policy-kubernetes-audit:1.14.2"
],
"image_repo_digests": [
"mcr.microsoft.com/azure-policy/policy-kubernetes-audit:1.14.2@sha256:33218f96..."
]
},
"mitigated_cves_from_previous_release": [
{"id": "CVE-2025-47912"},
{"id": "CVE-2025-47914"},
{"id": "CVE-2025-58181"}
]
}
],
"report_time": "2026-01-27T16:19:36.181877605Z"
}
응답 필드:
| Field | Type | Description |
|---|---|---|
aks_release_version |
string | 현재 AKS 릴리스 버전 |
previous_aks_release_version |
string | 이전 릴리스 버전(델타 계산에 사용됨) |
container_targets |
AKSReleaseContainerTarget[] | 이 릴리스의 모든 컨테이너 구성 요소 |
report_time |
string(ISO 8601) | 보고서 생성 타임스탬프 |
Kubernetes 버전 릴리스
Kubernetes 버전 인덱스 가져오기
다음 엔드포인트는 사용 가능한 CVE 보고서가 있는 모든 Kubernetes 버전의 인덱스를 반환합니다.
GET /api/v1/aks-k8s-releases/_index
요청 예제:
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-k8s-releases/_index
응답 예제:
{
"k8s_versions": [
"1.27.102",
"1.27.103",
"1.28.100",
"1.29.14",
"1.30.0",
"1.30.14",
"1.31.1",
"1.32.0",
"1.32.10",
"1.33.0",
"1.33.6",
"1.34.0",
"1.34.2"
],
"report_time": "2026-01-27T16:14:37.928201259Z"
}
응답 필드:
| Field | Type | Description |
|---|---|---|
k8s_versions |
string[] | 서버별로 정렬된 사용 가능한 Kubernetes 버전 |
report_time |
string(ISO 8601) | 이 인덱스가 마지막으로 생성된 경우 |
Kubernetes 버전 CVE 보고서 가져오기
다음 엔드포인트는 특정 Kubernetes 버전에 대한 CVE 보고서를 반환하며, 핵심 Kubernetes 구성 요소 및 해당 버전에 대한 AKS 추가 기능에서 사용하는 컨테이너 이미지의 취약성을 자세히 설명합니다.
GET /api/v1/aks-k8s-releases/{version}/scan-reports
경로 매개 변수:
| 매개 변수 | Type | Description | Example |
|---|---|---|---|
version |
string | 인덱스에 있는 Kubernetes 버전 | 1.33.2 |
요청 예제:
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-k8s-releases/1.33.2/scan-reports
예제 응답(약어):
{
"k8s_version": "1.33.2",
"container_targets": [
{
"container_image": "mcr.microsoft.com/oss/kubernetes/kube-apiserver",
"active_container_images": {
"image_repo_tags": [
"mcr.microsoft.com/oss/kubernetes/kube-apiserver:v1.33.2"
],
"image_repo_digests": [
"mcr.microsoft.com/oss/kubernetes/kube-apiserver:v1.33.2@sha256:abc123..."
]
},
"active_cves": [
{"id": "CVE-2025-47912"},
{"id": "CVE-2025-58181"}
]
},
{
"container_image": "mcr.microsoft.com/aks/aks-app-routing-operator",
"active_container_images": {
"image_repo_tags": [
"mcr.microsoft.com/aks/aks-app-routing-operator:0.0.3"
],
"image_repo_digests": [
"mcr.microsoft.com/aks/aks-app-routing-operator:0.0.3@sha256:c1ff16ca..."
]
},
"active_cves": [
{"id": "CVE-2023-39318"},
{"id": "CVE-2023-39319"},
{"id": "CVE-2023-39325"}
]
}
],
"report_time": "2026-01-27T16:14:37.928201259Z"
}
응답 필드:
| Field | Type | Description |
|---|---|---|
k8s_version |
string | Kubernetes 버전(예: "1.33.2") |
container_targets |
AKSK8SContainerTarget[] | 이 Kubernetess 버전의 컨테이너 이미지 |
report_time |
string(ISO 8601) | 보고서 생성 타임스탬프 |
VHD(노드 이미지) 릴리스
VHD 릴리스 인덱스 가져오기
다음 엔드포인트는 사용 가능한 CVE 보고서가 있는 모든 VHD 릴리스의 인덱스를 반환합니다.
GET /api/v1/vhd-releases/_index
요청 예제:
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-releases/_index
예제 응답(약어):
{
"vhd_release_versions": [
"AKSAzureLinux-gen1/202507.02.0",
"AKSAzureLinux-gen2/202512.06.0",
"AKSAzureLinux-gen2fips/202510.03.0",
"AKSAzureLinuxV3-gen2/202511.20.0",
"AKSCBLMarinerV2-gen2/202508.20.0",
"AKSUbuntu-gen1-2204containerd/202601.13.0",
"AKSUbuntu-gen2-2404containerd/202601.13.0"
],
"report_time": "2026-01-27T16:21:23.056129543Z"
}
응답 필드:
| Field | Type | Description |
|---|---|---|
vhd_release_versions |
string[] |
{distro}/{version} 형식으로 제공되는 VHD 릴리스 |
report_time |
string(ISO 8601) | 이 인덱스가 마지막으로 생성된 경우 |
사용 가능한 배포판:
| 배포판 접두사 | Description |
|---|---|
AKSAzureLinux-gen1 |
Azure Linux V2, 1세대 |
AKSAzureLinux-gen2 |
Azure Linux V2, 2세대 |
AKSAzureLinux-gen1fips |
Azure Linux V2, Gen 1, FIPS 사용 설정 |
AKSAzureLinux-gen2fips |
Azure Linux V2, Gen 2, FIPS 지원 |
AKSAzureLinux-gen2kata |
Azure Linux V2, Gen 2, Kata 컨테이너 |
AKSAzureLinux-gen2tl |
Azure Linux V2, Gen 2, TL 변형 |
AKSAzureLinuxV3-gen1 |
Azure Linux V3, 1세대 |
AKSAzureLinuxV3-gen2 |
Azure Linux V3, 2세대 |
AKSAzureLinuxV3-gen1fips |
Azure Linux V3, Gen 1, FIPS 지원 |
AKSAzureLinuxV3-gen2fips |
Azure Linux V3, Gen 2, FIPS 지원 |
AKSAzureLinuxV3-gen2tl |
Azure Linux V3, Gen 2, TL 변형 |
AKSCBLMarinerV2-gen1 |
CBL-Mariner V2, 1세대 |
AKSCBLMarinerV2-gen2 |
CBL-Mariner V2, 2세대 |
AKSCBLMarinerV2-gen1fips |
CBL-Mariner V2, Gen 1, FIPS 지원 |
AKSCBLMarinerV2-gen2fips |
CBL-Mariner V2, Gen 2, FIPS 지원 |
AKSCBLMarinerV2-gen2kata |
CBL-Mariner V2, Gen 2, Kata 컨테이너 |
AKSCBLMarinerV2-gen2tl |
CBL-Mariner V2, Gen 2, TL 변형 |
AKSUbuntu-gen1-2004fipscontainerd |
Ubuntu 20.04, Gen 1, FIPS |
AKSUbuntu-gen1-2204containerd |
Ubuntu 22.04, 1세대 |
AKSUbuntu-gen1-2404containerd |
Ubuntu 24.04, 1세대 |
AKSUbuntu-gen2-2004cvmcontainerd |
Ubuntu 20.04, Gen 2, 기밀 가상 머신 |
AKSUbuntu-gen2-2004fipscontainerd |
Ubuntu 20.04, Gen 2, FIPS |
AKSUbuntu-gen2-2204containerd |
Ubuntu 22.04, 2세대 |
AKSUbuntu-gen2-2404containerd |
Ubuntu 24.04, 2세대 |
AKSUbuntu-gen2-2204tlcontainerd |
Ubuntu 22.04, Gen 2, TL 변형 |
AKSUbuntu-gen2-2404tlcontainerd |
Ubuntu 24.04, Gen 2, TL 변형 |
VHD 릴리스 CVE 보고서 가져오기
다음 엔드포인트는 해당 릴리스에 포함된 OS 패키지 및 컨테이너 이미지를 포함하여 특정 VHD 릴리스에 대한 CVE 보고서를 반환합니다.
GET /api/v1/vhd-releases/{distro}/{version}/scan-reports
경로 매개 변수:
| 매개 변수 | Type | Description | Example |
|---|---|---|---|
distro |
string | Linux 배포 식별자 | AKSUbuntu-gen2-2204containerd |
version |
string | VHD 릴리스 버전 | 202601.13.0 |
요청 예제:
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-releases/AKSUbuntu-gen2-2204containerd/202601.13.0/scan-reports
예제 응답(약어):
{
"distro_name": "AKSUbuntu/gen2/2204containerd",
"vhd_release_version": "202601.13.0",
"previous_vhd_release_version": "202512.06.0",
"os_package_targets": [
{
"name": "libtasn1-6",
"version": "4.18.0-4ubuntu0.2",
"active_cves": [],
"previous_version": "4.18.0-4ubuntu0.1",
"mitigated_cves_from_previous_release": [
{"id": "CVE-2021-46848"},
{"id": "CVE-2025-13151"}
]
},
{
"name": "python3.10",
"version": "3.10.12-1~22.04.13",
"active_cves": [],
"previous_version": "3.10.12-1~22.04.12",
"mitigated_cves_from_previous_release": [
{"id": "CVE-2025-13836"}
]
}
],
"container_targets": [
{
"container_image": "mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-collector/images",
"active_container_images": {
"image_repo_tags": [
"mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-collector/images:6.24.1-main-11-14-2025-15146744-cfg"
],
"image_repo_digests": [
"mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-collector/images:6.24.1-main-11-14-2025-15146744-cfg@sha256:6ce08d12..."
]
},
"active_cves": [],
"removed_container_images_from_previous_release": {
"image_repo_tags": [
"mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-collector/images:6.24.0-main-10-20-2025-fe8f6d51-targetallocator"
],
"image_repo_digests": [
"mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-collector/images:6.24.0-main-10-20-2025-fe8f6d51-targetallocator@sha256:314e20ca..."
]
},
"mitigated_cves_from_previous_release": [
{"id": "CVE-2025-47914"},
{"id": "CVE-2025-4802"},
{"id": "CVE-2025-58181"},
{"id": "CVE-2025-61727"},
{"id": "CVE-2025-61729"}
]
}
],
"report_time": "2026-01-27T16:21:23.056129543Z"
}
응답 필드:
| Field | Type | Description |
|---|---|---|
distro_name |
string | Linux 배포 이름(예: "AKSAzureLinux/gen2") |
vhd_release_version |
string | 현재 VHD 릴리스 버전 |
previous_vhd_release_version |
string | 이전 VHD 릴리스 버전 |
os_package_targets |
AKSVHDOSPackageTarget[] | 이 VHD의 OS 패키지 |
container_targets |
AKSVHDContainerTarget[] | 이 VHD에 번들로 제공되는 컨테이너 이미지 |
report_time |
string(ISO 8601) | 보고서 생성 타임스탬프 |
컨테이너 이미지
컨테이너 이미지 엔드포인트는 개별 컨테이너 이미지에 대한 이미지별 CVE 검사 보고서 및 릴리스 간 완화 추적을 제공합니다. 이러한 엔드포인트에는 _index 목록이 없습니다. 전체 이미지 경로로 이동합니다.
컨테이너 이미지 CVE 검사 보고서 가져오기
다음 엔드포인트는 전체 이미지 경로 및 태그로 식별되는 특정 컨테이너 이미지에 대한 CVE 검사 보고서를 검색합니다.
GET /api/v1/container-images/{image}:{tag}/scan-reports
경로 매개 변수:
| 매개 변수 | Type | Description | Example |
|---|---|---|---|
image |
string | 레지스트리를 포함한 전체 이미지 이름 | mcr.microsoft.com/oss/kubernetes/kube-proxy |
tag |
string | 이미지 태그 | v1.31.11 |
요청 예제:
curl -s https://cve-api.prod-aks.azure.com/api/v1/container-images/mcr.microsoft.com/oss/kubernetes/kube-proxy:v1.31.11/scan-reports
예제 응답(약어):
{
"image_repo_tags": [
"mcr.microsoft.com/oss/kubernetes/kube-proxy:v1.31.11"
],
"image_repo_digests": [
"mcr.microsoft.com/oss/kubernetes/kube-proxy:v1.31.11@sha256:abc123..."
],
"report_time": "2026-02-20T16:12:42.081442479Z",
"active_cves": [
{
"scanner": {
"name": "trivy",
"version": "0.69.1"
},
"cves": [
{"id": "CVE-2024-13176"},
{"id": "CVE-2025-47914"}
]
}
]
}
응답 필드:
| Field | Type | Description |
|---|---|---|
image_repo_tags |
string[] | 스캔한 이미지에 대한 이미지 태그 |
image_repo_digests |
string[] | 지원되는 모든 플랫폼에 대한 이미지 다이제스트 |
report_time |
string(ISO 8601) | 보고서 생성 타임스탬프 |
active_cves |
CVEList[] | 스캐너별로 그룹화된 활성 CVE |
컨테이너 이미지 CVE 완화 보고서 가져오기
다음 엔드포인트는 특정 컨테이너 이미지 리포지토리에 대한 CVE 완화 보고서를 검색하고 어떤 구성 요소 버전 및 릴리스에서 어떤 CVE가 표시되었으며 완화된 버전과 릴리스를 보여 줍니다.
GET /api/v1/container-images/{image}/mitigation-reports
경로 매개 변수:
| 매개 변수 | Type | Description | Example |
|---|---|---|---|
image |
string | 레지스트리를 포함한 전체 이미지 이름(태그 제외) | mcr.microsoft.com/oss/kubernetes/kube-proxy |
요청 예제:
curl -s https://cve-api.prod-aks.azure.com/api/v1/container-images/mcr.microsoft.com/oss/kubernetes/kube-proxy/mitigation-reports
예제 응답(약어):
{
"container_image": "mcr.microsoft.com/oss/kubernetes/kube-proxy",
"mitigations": [
{
"cve": {"id": "CVE-2023-2253"},
"seen_in_component_versions": ["v1.27.102-akslts"],
"seen_in_aks_release_versions": [],
"seen_in_aks_k8s_release_versions": [],
"seen_in_vhd_release_versions": ["AKSAzureLinux-gen1/202507.02.0"],
"mitigated_in_component_versions": [],
"mitigated_in_aks_release_versions": [],
"mitigated_in_aks_k8s_release_versions": [],
"mitigated_in_vhd_release_versions": []
}
]
}
응답 필드:
| Field | Type | Description |
|---|---|---|
container_image |
string | 태그가 없는 이미지 이름 |
mitigations |
CVEMitigation[] | 이 이미지에 대한 CVE 완화 항목 |
VHD OS 패키지
VHD OS 패키지 엔드포인트는 VHD 노드 이미지에 설치된 개별 OS 패키지에 대한 패키지별 CVE 검사 보고서 및 릴리스 간 완화 추적을 제공합니다. 이러한 엔드포인트에는 _index 목록이 없습니다. 패키지 이름으로 이동합니다.
VHD OS 패키지 CVE 검사 보고서 가져오기
다음 엔드포인트는 VHD 노드 이미지에 설치된 특정 OS 패키지 버전에 대한 CVE 검사 보고서를 검색합니다.
GET /api/v1/vhd-packages/{name}/{version}/scan-reports
경로 매개 변수:
| 매개 변수 | Type | Description | Example |
|---|---|---|---|
name |
string | OS 패키지 이름(소문자) | openssl |
version |
string | 패키지 버전 | 3.0.2-0ubuntu1.20 |
요청 예제:
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-packages/openssl/3.0.2-0ubuntu1.20/scan-reports
응답 예제:
{
"name": "openssl",
"version": "3.0.2-0ubuntu1.20",
"active_cves": [
{"id": "CVE-2025-15467"},
{"id": "CVE-2025-68160"}
],
"report_time": "2026-02-20T16:14:09.253455099Z"
}
응답 필드:
| Field | Type | Description |
|---|---|---|
name |
string | 패키지 이름 |
version |
string | 패키지 버전 |
active_cves |
CVE[] | 사용 가능한 수정 사항이 있는 활성 CVE |
report_time |
string(ISO 8601) | 보고서 생성 타임스탬프 |
VHD OS 패키지 CVE 완화 보고서 가져오기
다음 엔드포인트는 특정 OS 패키지에 대한 CVE 완화 보고서를 검색하고 어떤 패키지 버전 및 VHD 릴리스에서 어떤 CVE가 표시되었는지, 어떤 버전이 완화되었는지를 보여 줍니다.
GET /api/v1/vhd-packages/{name}/mitigation-reports
경로 매개 변수:
| 매개 변수 | Type | Description | Example |
|---|---|---|---|
name |
string | OS 패키지 이름(소문자) | openssl |
요청 예제:
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-packages/openssl/mitigation-reports
예제 응답(약어):
{
"package_name": "openssl",
"mitigations": [
{
"cve": {"id": "CVE-2025-15467"},
"seen_in_component_versions": ["3.3.3-2.azl3", "3.3.3-3.azl3"],
"seen_in_aks_release_versions": [],
"seen_in_aks_k8s_release_versions": [],
"seen_in_vhd_release_versions": ["AKSAzureLinuxV3-gen1/202507.02.0"],
"mitigated_in_component_versions": [],
"mitigated_in_aks_release_versions": [],
"mitigated_in_aks_k8s_release_versions": [],
"mitigated_in_vhd_release_versions": []
}
]
}
응답 필드:
| Field | Type | Description |
|---|---|---|
package_name |
string | OS 패키지 이름 |
mitigations |
CVEMitigation[] | 이 패키지에 대한 CVE 완화 항목 |
데이터 모델
다음 섹션에서는 CVE 항목, 컨테이너 이미지 참조, AKS 릴리스 구성 요소, VHD OS 패키지 및 이들 간의 관계를 포함하여 AKS 취약성 데이터 API에서 반환되는 데이터 모델에 대해 설명합니다.
CVE
CVE 데이터 모델은 일반적인 취약성 및 노출 식별자입니다.
| Field | Type | Description |
|---|---|---|
id |
string | CVE 식별자(예: "CVE-2024-13176", "GHSA-2464-8j7c-4cjm") |
ContainerImages
ContainerImages 데이터 모델은 사람이 읽을 수 있는 태그와 콘텐츠 주소 지정이 가능한 다이제스트를 포함하여 컨테이너 이미지 참조 집합을 나타냅니다.
| Field | Type | Description |
|---|---|---|
image_repo_tags |
string[] | 이미지 태그(예: "mcr.microsoft.com/oss/kubernetes/coredns:v1.9.4-9") |
image_repo_digests |
string[] | 지원되는 모든 플랫폼에 대한 이미지 다이제스트(예: "mcr.microsoft.com/oss/kubernetes/coredns:v1.9.4-9@sha256:abc...") |
메모
다이제스트에는 다중 아치 매니페스트의 모든 Linux 플랫폼 변형(amd64, arm64)이 포함됩니다. 이렇게 하면 노드가 어떤 플랫폼별 다이제스트를 가져왔는지와 관계없이 CVE 데이터를 매칭할 수 있습니다.
AKSReleaseContainerTarget
AKSReleaseContainerTarget 데이터 모델은 Pod 네임스페이스 및 실행되는 컨테이너 이름으로 식별되는 특정 AKS 릴리스 내의 컨테이너 구성 요소와 사용하는 컨테이너 이미지 및 영향을 미치는 CVE를 나타냅니다.
| Field | Type | Description |
|---|---|---|
pod_namespace |
string | Kubernetes 네임스페이스(예: "kube-system", "calico-system") |
container_name |
string | 컨테이너 이름(예: "coredns", "calico-node") |
active_container_images |
ContainerImages | 이 구성 요소에 대해 현재 실행 중인 컨테이너 이미지 |
active_cves |
CVE[] | 현재 이 구성 요소에 영향을 주는 사용 가능한 수정 사항이 있는 CVE |
removed_container_images_from_previous_release |
ContainerImages | 이전 릴리스에 있었지만 더 이상 실행되지 않는 이미지 |
mitigated_cves_from_previous_release |
CVE[] | 이전 릴리스에 있었지만 이 릴리스에서 수정된 CVE |
AKSK8SContainerTarget
AKSK8SContainerTarget 데이터 모델은 해당 이미지에 대한 태그가 지정된 이미지 참조 및 다이제스트 및 해당 이미지에 영향을 주는 CVE를 포함하여 특정 Kubernetes 버전과 연결된 컨테이너 이미지를 나타냅니다.
| Field | Type | Description |
|---|---|---|
container_image |
string | 태그가 없는 이미지 이름(예: "mcr.microsoft.com/oss/kubernetes/kube-apiserver") |
active_container_images |
ContainerImages | 태그가 지정된 이미지 참조 및 다이제스트 |
active_cves |
CVE[] | 사용 가능한 수정 사항이 있는 활성 CVE |
AKSVHDContainerTarget
AKSVHDContainerTarget 데이터 모델은 태그가 지정된 이미지 참조, 다이제스트 및 영향을 주는 CVE와 함께 VHD 노드 이미지에 포함된 컨테이너 이미지를 나타냅니다.
| Field | Type | Description |
|---|---|---|
container_image |
string | 태그가 없는 이미지 이름 |
active_container_images |
ContainerImages | 태그가 지정된 이미지 참조 및 다이제스트 |
active_cves |
CVE[] | 사용 가능한 수정 사항이 있는 활성 CVE |
removed_container_images_from_previous_release |
ContainerImages | 이전 VHD 릴리스 이후 제거된 이미지 |
mitigated_cves_from_previous_release |
CVE[] | 이전 VHD 릴리스 이후 수정된 CVE |
AKSVHDOSPackageTarget
AKSVHDOSPackageTarget 데이터 모델은 설치된 버전, 영향을 주는 CVE 및 이전 VHD 릴리스의 변경 내용과 함께 VHD 노드 이미지에 설치된 OS 수준 패키지를 나타냅니다.
| Field | Type | Description |
|---|---|---|
name |
string | 패키지 이름(예: "kernel", "containerd", "systemd") |
version |
string | 패키지 버전(예: "6.1.109.2-1.cm2") |
active_cves |
CVE[] | 사용 가능한 수정 사항이 있는 활성 CVE |
previous_version |
string | 이전 VHD 릴리스의 버전(변경되지 않은 경우 비어 있음) |
mitigated_cves_from_previous_release |
CVE[] | 이전 VHD 릴리스 이후 수정된 CVE |
CVEScanner
CVEScanner 데이터 모델은 컨테이너 이미지에 대한 CVE 검사 결과를 생성하는 취약성 스캐너의 메타데이터를 나타냅니다.
| Field | Type | Description |
|---|---|---|
name |
string | 스캐너 이름(예: "trivy") |
version |
string | 스캐너 버전(예: "0.69.1") |
CVEList
CVEList 데이터 모델은 특정 컨테이너 이미지에 대해 특정 취약성 스캐너에서 검색한 CVE 집합을 나타냅니다. 각 항목은 검색된 CVE 목록과 스캐너 메타데이터를 연결합니다.
| Field | Type | Description |
|---|---|---|
scanner |
CVEScanner | 이러한 결과를 생성한 스캐너 |
cves |
CVE[] | 이 스캐너에서 검색된 CVE |
CVEMitigation
CVEMitigation 데이터 모델은 구성 요소 버전 및 릴리스 형식에서 단일 CVE를 추적하여 관찰된 위치와 완화된 위치를 보여 줌
| Field | Type | Description |
|---|---|---|
cve |
CVE | 추적 중인 CVE |
seen_in_component_versions |
string[] | 이 CVE가 검색된 구성 요소 버전(이미지 태그 또는 패키지 버전) |
seen_in_aks_release_versions |
string[] | 이 CVE가 검색된 AKS 릴리스 버전 |
seen_in_aks_k8s_release_versions |
string[] | 이 CVE가 검색된 Kubernetes 릴리스 버전 |
seen_in_vhd_release_versions |
string[] | 이 CVE가 검색된 VHD 릴리스 버전 |
mitigated_in_component_versions |
string[] | 이 CVE가 수정된 구성 요소 버전 |
mitigated_in_aks_release_versions |
string[] | 이 CVE가 수정된 AKS 릴리스 버전 |
mitigated_in_aks_k8s_release_versions |
string[] | 이 CVE가 수정된 Kubernetes 릴리스 버전 |
mitigated_in_vhd_release_versions |
string[] | 이 CVE가 수정된 VHD 릴리스 버전 |
델타 추적
AKS 릴리스 및 VHD 릴리스 보고서에는 현재 릴리스와 이전 릴리스를 비교하는 델타 필드 가 포함됩니다.
-
mitigated_cves_from_previous_release: 이전 릴리스에 있었지만 더 이상 검색되지 않는 CVE입니다. 즉, 취약성이 수정되었습니다(예: 구성 요소 버전 범프를 통해). -
removed_container_images_from_previous_release: 이전 릴리스에서 실행되었지만 현재 릴리스에 없는 컨테이너 이미지입니다.
메모
Kubernetes 버전 보고서에는 델타 필드 가 포함되지 않습니다 .
다중 아키텍처 다이제스트
각 컨테이너 이미지에는 서로 다른 CPU 아키텍처(amd64, arm64)를 포함하는 여러 다이제스트 참조가 포함될 수 있습니다. API에는 다중 아키텍처 매니페스트의 모든 Linux 플랫폼 다이제스트 가 포함되어 있으므로 노드를 끌어온 특정 플랫폼 다이제스트에 관계없이 CVE 데이터를 일치시킬 수 있습니다.
보고서 버전 형식
AKS 취약성 데이터 API 보고서는 보고되는 릴리스 유형에 따라 다른 버전 관리 체계를 사용합니다. 다음 표에는 AKS 릴리스, Kubernetes 버전 및 VHD 릴리스에 사용되는 형식이 요약되어 있습니다.
| 릴리스 유형 | 포맷 | Example |
|---|---|---|
| AKS 릴리스 | v{YYYYMMDD} |
v20260104 |
| Kubernetes 버전 | Semver | 1.33.2 |
| VHD 릴리스 | {distro}/{YYYYMM.DD.patch} |
AKSAzureLinux-gen2/202512.06.0 |
관련 콘텐츠
AKS 취약성 데이터 API에 대한 자세한 내용은 Vulnerability Data API for AKS(Azure Kubernetes Service) 개요 참조하세요.