AKS(Azure Kubernetes Service) 취약성 데이터 API 사용

AKS 취약성 데이터 APIAKS 관리형 플랫폼 구성 요소에서 검색된 취약성에 대한 프로그래밍 방식의 읽기 전용 가시성을 제공합니다. 이 API는 특정 클러스터 런타임 상태와 관계없이 AKS 관리 아티팩트에 영향을 주는 취약성에 대한 신뢰할 수 있는 정보가 필요한 보안 팀, 규정 준수 팀 및 플랫폼 소유자 를 위한 것입니다.

이 문서에서는 AKS 취약성 데이터 API를 사용하여 AKS 릴리스, Kubernetes 버전, 노드 이미지, 컨테이너 이미지 및 OS 패키지를 포함하여 AKS 관리 아티팩트용 CVE 보고서를 프로그래밍 방식으로 검색하는 방법을 알아봅니다. API 요청의 예를 제공하고, 대규모 CVE 분석, 자동화 및 보안 스캐너 결과와의 상관 관계를 지원하기 위해 응답을 해석하는 방법을 보여 줍니다. API의 개념에 대한 개요는 Vulnerability Data API for AKS(Azure Kubernetes Service) 개요 참조하세요.

CVE 보고서 쿼리

다음 예제에서는 AKS 취약성 데이터 API를 쿼리하여 AKS 릴리스, Kubernetes 버전, 노드 이미지, 컨테이너 이미지 및 OS 패키지에 대한 CVE 보고서를 검색하는 방법을 보여 줍니다.

AKS 릴리스에 대한 CVE 조회

# 1. List available AKS releases
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-releases/_index | jq '.aks_release_versions'

# 2. Get CVE report for a specific release
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-releases/v20260104/scan-reports | jq '.'

Kubernetes 버전에 대한 CVE 쿼리

# 1. List available Kubernetes versions
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-k8s-releases/_index | jq '.k8s_versions'

# 2. Get CVE report for a specific Kubernetes version
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-k8s-releases/1.32.9/scan-reports | jq '.'

노드 이미지(VHD)의 CVE 조회

# 1. List available VHD releases
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-releases/_index | jq '.vhd_release_versions'

# 2. Get CVE report for a specific VHD
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-releases/AKSUbuntu-gen2-2204containerd/202601.13.0/scan-reports | jq '.'

특정 컨테이너 이미지에 대한 CVE 쿼리

# Get CVE scan report for a specific tagged container image
curl -s https://cve-api.prod-aks.azure.com/api/v1/container-images/mcr.microsoft.com/oss/kubernetes/kube-proxy:v1.31.11/scan-reports | jq '.'

# Get CVE mitigation history for a container image repository
curl -s https://cve-api.prod-aks.azure.com/api/v1/container-images/mcr.microsoft.com/oss/kubernetes/kube-proxy/mitigation-reports | jq '.'

특정 OS 패키지에 대한 CVE 쿼리

# Get CVE scan report for a specific OS package version
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-packages/openssl/3.0.2-0ubuntu1.20/scan-reports | jq '.'

# Get CVE mitigation history for an OS package
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-packages/openssl/mitigation-reports | jq '.'

엔드포인트

AKS 취약성 데이터 API는 AKS 릴리스, Kubernetes 버전, 노드 이미지, 컨테이너 이미지 및 OS 패키지에 대한 CVE 보고서를 검색하기 위한 엔드포인트를 노출합니다. 각 엔드포인트는 사용 가능한 버전의 인덱스 또는 특정 버전 또는 아티팩트에 대한 자세한 검사 보고서에 대한 액세스를 제공합니다. 다음 섹션에서는 각 엔드포인트, 사용 가능한 작업 및 예상된 요청 및 응답 형식에 대해 설명합니다.

AKS 릴리스

AKS 릴리스 인덱스 가져오기

다음 엔드포인트는 사용 가능한 CVE 보고서가 있는 모든 AKS 릴리스 버전의 인덱스를 반환합니다.

GET /api/v1/aks-releases/_index

요청 예제:

curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-releases/_index

응답 예제:

{
  "aks_release_versions": [
    "v20250427",
    "v20250519",
    "v20250617",
    "v20250720",
    "v20250808",
    "v20250829",
    "v20250921",
    "v20251012",
    "v20260104"
  ],
  "report_time": "2026-01-27T16:19:36.181877605Z"
}

응답 필드:

Field Type Description
aks_release_versions string[] 시간순으로 정렬된 사용 가능한 AKS 릴리스 버전
report_time string(ISO 8601) 이 인덱스가 마지막으로 생성된 경우

AKS 릴리스 CVE 보고서 가져오기

다음 엔드포인트는 시스템 네임스페이스의 모든 컨테이너 이미지, 활성 CVE 및 이전 릴리스와 비교하여 CVE의 델타를 포함하여 특정 AKS 릴리스 버전에 대한 자세한 CVE 보고서를 반환합니다.

GET /api/v1/aks-releases/{version}/scan-reports

경로 매개 변수:

매개 변수 Type Description Example
version string 인덱스에서 AKS 릴리스 버전 v20260104

요청 예제:

curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-releases/v20260104/scan-reports

예제 응답(약어):

{
  "aks_release_version": "v20260104",
  "previous_aks_release_version": "v20251012",
  "container_targets": [
    {
      "pod_namespace": "kube-system",
      "container_name": "coredns",
      "active_container_images": {
        "image_repo_tags": [
          "mcr.microsoft.com/oss/v2/kubernetes/coredns:v1.9.4-9"
        ],
        "image_repo_digests": [
          "mcr.microsoft.com/oss/v2/kubernetes/coredns:v1.9.4-9@sha256:718de5d12a..."
        ]
      },
      "active_cves": [
        {"id": "CVE-2025-47914"},
        {"id": "CVE-2025-58181"},
        {"id": "CVE-2025-61727"},
        {"id": "CVE-2025-61729"}
      ],
      "removed_container_images_from_previous_release": {
        "image_repo_tags": [],
        "image_repo_digests": []
      },
      "mitigated_cves_from_previous_release": []
    },
    {
      "pod_namespace": "gatekeeper-system",
      "container_name": "azure-policy-audit",
      "active_container_images": {
        "image_repo_tags": [
          "mcr.microsoft.com/azure-policy/policy-kubernetes-audit:1.15.3"
        ],
        "image_repo_digests": [
          "mcr.microsoft.com/azure-policy/policy-kubernetes-audit:1.15.3@sha256:67745758..."
        ]
      },
      "active_cves": [
        {"id": "CVE-2025-61727"},
        {"id": "CVE-2025-61729"}
      ],
      "removed_container_images_from_previous_release": {
        "image_repo_tags": [
          "mcr.microsoft.com/azure-policy/policy-kubernetes-audit:1.14.2"
        ],
        "image_repo_digests": [
          "mcr.microsoft.com/azure-policy/policy-kubernetes-audit:1.14.2@sha256:33218f96..."
        ]
      },
      "mitigated_cves_from_previous_release": [
        {"id": "CVE-2025-47912"},
        {"id": "CVE-2025-47914"},
        {"id": "CVE-2025-58181"}
      ]
    }
  ],
  "report_time": "2026-01-27T16:19:36.181877605Z"
}

응답 필드:

Field Type Description
aks_release_version string 현재 AKS 릴리스 버전
previous_aks_release_version string 이전 릴리스 버전(델타 계산에 사용됨)
container_targets AKSReleaseContainerTarget[] 이 릴리스의 모든 컨테이너 구성 요소
report_time string(ISO 8601) 보고서 생성 타임스탬프

Kubernetes 버전 릴리스

Kubernetes 버전 인덱스 가져오기

다음 엔드포인트는 사용 가능한 CVE 보고서가 있는 모든 Kubernetes 버전의 인덱스를 반환합니다.

GET /api/v1/aks-k8s-releases/_index

요청 예제:

curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-k8s-releases/_index

응답 예제:

{
  "k8s_versions": [
    "1.27.102",
    "1.27.103",
    "1.28.100",
    "1.29.14",
    "1.30.0",
    "1.30.14",
    "1.31.1",
    "1.32.0",
    "1.32.10",
    "1.33.0",
    "1.33.6",
    "1.34.0",
    "1.34.2"
  ],
  "report_time": "2026-01-27T16:14:37.928201259Z"
}

응답 필드:

Field Type Description
k8s_versions string[] 서버별로 정렬된 사용 가능한 Kubernetes 버전
report_time string(ISO 8601) 이 인덱스가 마지막으로 생성된 경우

Kubernetes 버전 CVE 보고서 가져오기

다음 엔드포인트는 특정 Kubernetes 버전에 대한 CVE 보고서를 반환하며, 핵심 Kubernetes 구성 요소 및 해당 버전에 대한 AKS 추가 기능에서 사용하는 컨테이너 이미지의 취약성을 자세히 설명합니다.

GET /api/v1/aks-k8s-releases/{version}/scan-reports

경로 매개 변수:

매개 변수 Type Description Example
version string 인덱스에 있는 Kubernetes 버전 1.33.2

요청 예제:

curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-k8s-releases/1.33.2/scan-reports

예제 응답(약어):

{
  "k8s_version": "1.33.2",
  "container_targets": [
    {
      "container_image": "mcr.microsoft.com/oss/kubernetes/kube-apiserver",
      "active_container_images": {
        "image_repo_tags": [
          "mcr.microsoft.com/oss/kubernetes/kube-apiserver:v1.33.2"
        ],
        "image_repo_digests": [
          "mcr.microsoft.com/oss/kubernetes/kube-apiserver:v1.33.2@sha256:abc123..."
        ]
      },
      "active_cves": [
        {"id": "CVE-2025-47912"},
        {"id": "CVE-2025-58181"}
      ]
    },
    {
      "container_image": "mcr.microsoft.com/aks/aks-app-routing-operator",
      "active_container_images": {
        "image_repo_tags": [
          "mcr.microsoft.com/aks/aks-app-routing-operator:0.0.3"
        ],
        "image_repo_digests": [
          "mcr.microsoft.com/aks/aks-app-routing-operator:0.0.3@sha256:c1ff16ca..."
        ]
      },
      "active_cves": [
        {"id": "CVE-2023-39318"},
        {"id": "CVE-2023-39319"},
        {"id": "CVE-2023-39325"}
      ]
    }
  ],
  "report_time": "2026-01-27T16:14:37.928201259Z"
}

응답 필드:

Field Type Description
k8s_version string Kubernetes 버전(예: "1.33.2")
container_targets AKSK8SContainerTarget[] 이 Kubernetess 버전의 컨테이너 이미지
report_time string(ISO 8601) 보고서 생성 타임스탬프

VHD(노드 이미지) 릴리스

VHD 릴리스 인덱스 가져오기

다음 엔드포인트는 사용 가능한 CVE 보고서가 있는 모든 VHD 릴리스의 인덱스를 반환합니다.

GET /api/v1/vhd-releases/_index

요청 예제:

curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-releases/_index

예제 응답(약어):

{
  "vhd_release_versions": [
    "AKSAzureLinux-gen1/202507.02.0",
    "AKSAzureLinux-gen2/202512.06.0",
    "AKSAzureLinux-gen2fips/202510.03.0",
    "AKSAzureLinuxV3-gen2/202511.20.0",
    "AKSCBLMarinerV2-gen2/202508.20.0",
    "AKSUbuntu-gen1-2204containerd/202601.13.0",
    "AKSUbuntu-gen2-2404containerd/202601.13.0"
  ],
  "report_time": "2026-01-27T16:21:23.056129543Z"
}

응답 필드:

Field Type Description
vhd_release_versions string[] {distro}/{version} 형식으로 제공되는 VHD 릴리스
report_time string(ISO 8601) 이 인덱스가 마지막으로 생성된 경우

사용 가능한 배포판:

배포판 접두사 Description
AKSAzureLinux-gen1 Azure Linux V2, 1세대
AKSAzureLinux-gen2 Azure Linux V2, 2세대
AKSAzureLinux-gen1fips Azure Linux V2, Gen 1, FIPS 사용 설정
AKSAzureLinux-gen2fips Azure Linux V2, Gen 2, FIPS 지원
AKSAzureLinux-gen2kata Azure Linux V2, Gen 2, Kata 컨테이너
AKSAzureLinux-gen2tl Azure Linux V2, Gen 2, TL 변형
AKSAzureLinuxV3-gen1 Azure Linux V3, 1세대
AKSAzureLinuxV3-gen2 Azure Linux V3, 2세대
AKSAzureLinuxV3-gen1fips Azure Linux V3, Gen 1, FIPS 지원
AKSAzureLinuxV3-gen2fips Azure Linux V3, Gen 2, FIPS 지원
AKSAzureLinuxV3-gen2tl Azure Linux V3, Gen 2, TL 변형
AKSCBLMarinerV2-gen1 CBL-Mariner V2, 1세대
AKSCBLMarinerV2-gen2 CBL-Mariner V2, 2세대
AKSCBLMarinerV2-gen1fips CBL-Mariner V2, Gen 1, FIPS 지원
AKSCBLMarinerV2-gen2fips CBL-Mariner V2, Gen 2, FIPS 지원
AKSCBLMarinerV2-gen2kata CBL-Mariner V2, Gen 2, Kata 컨테이너
AKSCBLMarinerV2-gen2tl CBL-Mariner V2, Gen 2, TL 변형
AKSUbuntu-gen1-2004fipscontainerd Ubuntu 20.04, Gen 1, FIPS
AKSUbuntu-gen1-2204containerd Ubuntu 22.04, 1세대
AKSUbuntu-gen1-2404containerd Ubuntu 24.04, 1세대
AKSUbuntu-gen2-2004cvmcontainerd Ubuntu 20.04, Gen 2, 기밀 가상 머신
AKSUbuntu-gen2-2004fipscontainerd Ubuntu 20.04, Gen 2, FIPS
AKSUbuntu-gen2-2204containerd Ubuntu 22.04, 2세대
AKSUbuntu-gen2-2404containerd Ubuntu 24.04, 2세대
AKSUbuntu-gen2-2204tlcontainerd Ubuntu 22.04, Gen 2, TL 변형
AKSUbuntu-gen2-2404tlcontainerd Ubuntu 24.04, Gen 2, TL 변형

VHD 릴리스 CVE 보고서 가져오기

다음 엔드포인트는 해당 릴리스에 포함된 OS 패키지 및 컨테이너 이미지를 포함하여 특정 VHD 릴리스에 대한 CVE 보고서를 반환합니다.

GET /api/v1/vhd-releases/{distro}/{version}/scan-reports

경로 매개 변수:

매개 변수 Type Description Example
distro string Linux 배포 식별자 AKSUbuntu-gen2-2204containerd
version string VHD 릴리스 버전 202601.13.0

요청 예제:

curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-releases/AKSUbuntu-gen2-2204containerd/202601.13.0/scan-reports

예제 응답(약어):

{
  "distro_name": "AKSUbuntu/gen2/2204containerd",
  "vhd_release_version": "202601.13.0",
  "previous_vhd_release_version": "202512.06.0",
  "os_package_targets": [
    {
      "name": "libtasn1-6",
      "version": "4.18.0-4ubuntu0.2",
      "active_cves": [],
      "previous_version": "4.18.0-4ubuntu0.1",
      "mitigated_cves_from_previous_release": [
        {"id": "CVE-2021-46848"},
        {"id": "CVE-2025-13151"}
      ]
    },
    {
      "name": "python3.10",
      "version": "3.10.12-1~22.04.13",
      "active_cves": [],
      "previous_version": "3.10.12-1~22.04.12",
      "mitigated_cves_from_previous_release": [
        {"id": "CVE-2025-13836"}
      ]
    }
  ],
  "container_targets": [
    {
      "container_image": "mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-collector/images",
      "active_container_images": {
        "image_repo_tags": [
          "mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-collector/images:6.24.1-main-11-14-2025-15146744-cfg"
        ],
        "image_repo_digests": [
          "mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-collector/images:6.24.1-main-11-14-2025-15146744-cfg@sha256:6ce08d12..."
        ]
      },
      "active_cves": [],
      "removed_container_images_from_previous_release": {
        "image_repo_tags": [
          "mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-collector/images:6.24.0-main-10-20-2025-fe8f6d51-targetallocator"
        ],
        "image_repo_digests": [
          "mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-collector/images:6.24.0-main-10-20-2025-fe8f6d51-targetallocator@sha256:314e20ca..."
        ]
      },
      "mitigated_cves_from_previous_release": [
        {"id": "CVE-2025-47914"},
        {"id": "CVE-2025-4802"},
        {"id": "CVE-2025-58181"},
        {"id": "CVE-2025-61727"},
        {"id": "CVE-2025-61729"}
      ]
    }
  ],
  "report_time": "2026-01-27T16:21:23.056129543Z"
}

응답 필드:

Field Type Description
distro_name string Linux 배포 이름(예: "AKSAzureLinux/gen2")
vhd_release_version string 현재 VHD 릴리스 버전
previous_vhd_release_version string 이전 VHD 릴리스 버전
os_package_targets AKSVHDOSPackageTarget[] 이 VHD의 OS 패키지
container_targets AKSVHDContainerTarget[] 이 VHD에 번들로 제공되는 컨테이너 이미지
report_time string(ISO 8601) 보고서 생성 타임스탬프

컨테이너 이미지

컨테이너 이미지 엔드포인트는 개별 컨테이너 이미지에 대한 이미지별 CVE 검사 보고서 및 릴리스 간 완화 추적을 제공합니다. 이러한 엔드포인트에는 _index 목록이 없습니다. 전체 이미지 경로로 이동합니다.

컨테이너 이미지 CVE 검사 보고서 가져오기

다음 엔드포인트는 전체 이미지 경로 및 태그로 식별되는 특정 컨테이너 이미지에 대한 CVE 검사 보고서를 검색합니다.

GET /api/v1/container-images/{image}:{tag}/scan-reports

경로 매개 변수:

매개 변수 Type Description Example
image string 레지스트리를 포함한 전체 이미지 이름 mcr.microsoft.com/oss/kubernetes/kube-proxy
tag string 이미지 태그 v1.31.11

요청 예제:

curl -s https://cve-api.prod-aks.azure.com/api/v1/container-images/mcr.microsoft.com/oss/kubernetes/kube-proxy:v1.31.11/scan-reports

예제 응답(약어):

{
  "image_repo_tags": [
    "mcr.microsoft.com/oss/kubernetes/kube-proxy:v1.31.11"
  ],
  "image_repo_digests": [
    "mcr.microsoft.com/oss/kubernetes/kube-proxy:v1.31.11@sha256:abc123..."
  ],
  "report_time": "2026-02-20T16:12:42.081442479Z",
  "active_cves": [
    {
      "scanner": {
        "name": "trivy",
        "version": "0.69.1"
      },
      "cves": [
        {"id": "CVE-2024-13176"},
        {"id": "CVE-2025-47914"}
      ]
    }
  ]
}

응답 필드:

Field Type Description
image_repo_tags string[] 스캔한 이미지에 대한 이미지 태그
image_repo_digests string[] 지원되는 모든 플랫폼에 대한 이미지 다이제스트
report_time string(ISO 8601) 보고서 생성 타임스탬프
active_cves CVEList[] 스캐너별로 그룹화된 활성 CVE

컨테이너 이미지 CVE 완화 보고서 가져오기

다음 엔드포인트는 특정 컨테이너 이미지 리포지토리에 대한 CVE 완화 보고서를 검색하고 어떤 구성 요소 버전 및 릴리스에서 어떤 CVE가 표시되었으며 완화된 버전과 릴리스를 보여 줍니다.

GET /api/v1/container-images/{image}/mitigation-reports

경로 매개 변수:

매개 변수 Type Description Example
image string 레지스트리를 포함한 전체 이미지 이름(태그 제외) mcr.microsoft.com/oss/kubernetes/kube-proxy

요청 예제:

curl -s https://cve-api.prod-aks.azure.com/api/v1/container-images/mcr.microsoft.com/oss/kubernetes/kube-proxy/mitigation-reports

예제 응답(약어):

{
  "container_image": "mcr.microsoft.com/oss/kubernetes/kube-proxy",
  "mitigations": [
    {
      "cve": {"id": "CVE-2023-2253"},
      "seen_in_component_versions": ["v1.27.102-akslts"],
      "seen_in_aks_release_versions": [],
      "seen_in_aks_k8s_release_versions": [],
      "seen_in_vhd_release_versions": ["AKSAzureLinux-gen1/202507.02.0"],
      "mitigated_in_component_versions": [],
      "mitigated_in_aks_release_versions": [],
      "mitigated_in_aks_k8s_release_versions": [],
      "mitigated_in_vhd_release_versions": []
    }
  ]
}

응답 필드:

Field Type Description
container_image string 태그가 없는 이미지 이름
mitigations CVEMitigation[] 이 이미지에 대한 CVE 완화 항목

VHD OS 패키지

VHD OS 패키지 엔드포인트는 VHD 노드 이미지에 설치된 개별 OS 패키지에 대한 패키지별 CVE 검사 보고서 및 릴리스 간 완화 추적을 제공합니다. 이러한 엔드포인트에는 _index 목록이 없습니다. 패키지 이름으로 이동합니다.

VHD OS 패키지 CVE 검사 보고서 가져오기

다음 엔드포인트는 VHD 노드 이미지에 설치된 특정 OS 패키지 버전에 대한 CVE 검사 보고서를 검색합니다.

GET /api/v1/vhd-packages/{name}/{version}/scan-reports

경로 매개 변수:

매개 변수 Type Description Example
name string OS 패키지 이름(소문자) openssl
version string 패키지 버전 3.0.2-0ubuntu1.20

요청 예제:

curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-packages/openssl/3.0.2-0ubuntu1.20/scan-reports

응답 예제:

{
  "name": "openssl",
  "version": "3.0.2-0ubuntu1.20",
  "active_cves": [
    {"id": "CVE-2025-15467"},
    {"id": "CVE-2025-68160"}
  ],
  "report_time": "2026-02-20T16:14:09.253455099Z"
}

응답 필드:

Field Type Description
name string 패키지 이름
version string 패키지 버전
active_cves CVE[] 사용 가능한 수정 사항이 있는 활성 CVE
report_time string(ISO 8601) 보고서 생성 타임스탬프

VHD OS 패키지 CVE 완화 보고서 가져오기

다음 엔드포인트는 특정 OS 패키지에 대한 CVE 완화 보고서를 검색하고 어떤 패키지 버전 및 VHD 릴리스에서 어떤 CVE가 표시되었는지, 어떤 버전이 완화되었는지를 보여 줍니다.

GET /api/v1/vhd-packages/{name}/mitigation-reports

경로 매개 변수:

매개 변수 Type Description Example
name string OS 패키지 이름(소문자) openssl

요청 예제:

curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-packages/openssl/mitigation-reports

예제 응답(약어):

{
  "package_name": "openssl",
  "mitigations": [
    {
      "cve": {"id": "CVE-2025-15467"},
      "seen_in_component_versions": ["3.3.3-2.azl3", "3.3.3-3.azl3"],
      "seen_in_aks_release_versions": [],
      "seen_in_aks_k8s_release_versions": [],
      "seen_in_vhd_release_versions": ["AKSAzureLinuxV3-gen1/202507.02.0"],
      "mitigated_in_component_versions": [],
      "mitigated_in_aks_release_versions": [],
      "mitigated_in_aks_k8s_release_versions": [],
      "mitigated_in_vhd_release_versions": []
    }
  ]
}

응답 필드:

Field Type Description
package_name string OS 패키지 이름
mitigations CVEMitigation[] 이 패키지에 대한 CVE 완화 항목

데이터 모델

다음 섹션에서는 CVE 항목, 컨테이너 이미지 참조, AKS 릴리스 구성 요소, VHD OS 패키지 및 이들 간의 관계를 포함하여 AKS 취약성 데이터 API에서 반환되는 데이터 모델에 대해 설명합니다.

CVE

CVE 데이터 모델은 일반적인 취약성 및 노출 식별자입니다.

Field Type Description
id string CVE 식별자(예: "CVE-2024-13176", "GHSA-2464-8j7c-4cjm")

ContainerImages

ContainerImages 데이터 모델은 사람이 읽을 수 있는 태그와 콘텐츠 주소 지정이 가능한 다이제스트를 포함하여 컨테이너 이미지 참조 집합을 나타냅니다.

Field Type Description
image_repo_tags string[] 이미지 태그(예: "mcr.microsoft.com/oss/kubernetes/coredns:v1.9.4-9")
image_repo_digests string[] 지원되는 모든 플랫폼에 대한 이미지 다이제스트(예: "mcr.microsoft.com/oss/kubernetes/coredns:v1.9.4-9@sha256:abc...")

메모

다이제스트에는 다중 아치 매니페스트의 모든 Linux 플랫폼 변형(amd64, arm64)이 포함됩니다. 이렇게 하면 노드가 어떤 플랫폼별 다이제스트를 가져왔는지와 관계없이 CVE 데이터를 매칭할 수 있습니다.

AKSReleaseContainerTarget

AKSReleaseContainerTarget 데이터 모델은 Pod 네임스페이스 및 실행되는 컨테이너 이름으로 식별되는 특정 AKS 릴리스 내의 컨테이너 구성 요소와 사용하는 컨테이너 이미지 및 영향을 미치는 CVE를 나타냅니다.

Field Type Description
pod_namespace string Kubernetes 네임스페이스(예: "kube-system", "calico-system")
container_name string 컨테이너 이름(예: "coredns", "calico-node")
active_container_images ContainerImages 이 구성 요소에 대해 현재 실행 중인 컨테이너 이미지
active_cves CVE[] 현재 이 구성 요소에 영향을 주는 사용 가능한 수정 사항이 있는 CVE
removed_container_images_from_previous_release ContainerImages 이전 릴리스에 있었지만 더 이상 실행되지 않는 이미지
mitigated_cves_from_previous_release CVE[] 이전 릴리스에 있었지만 이 릴리스에서 수정된 CVE

AKSK8SContainerTarget

AKSK8SContainerTarget 데이터 모델은 해당 이미지에 대한 태그가 지정된 이미지 참조 및 다이제스트 및 해당 이미지에 영향을 주는 CVE를 포함하여 특정 Kubernetes 버전과 연결된 컨테이너 이미지를 나타냅니다.

Field Type Description
container_image string 태그가 없는 이미지 이름(예: "mcr.microsoft.com/oss/kubernetes/kube-apiserver")
active_container_images ContainerImages 태그가 지정된 이미지 참조 및 다이제스트
active_cves CVE[] 사용 가능한 수정 사항이 있는 활성 CVE

AKSVHDContainerTarget

AKSVHDContainerTarget 데이터 모델은 태그가 지정된 이미지 참조, 다이제스트 및 영향을 주는 CVE와 함께 VHD 노드 이미지에 포함된 컨테이너 이미지를 나타냅니다.

Field Type Description
container_image string 태그가 없는 이미지 이름
active_container_images ContainerImages 태그가 지정된 이미지 참조 및 다이제스트
active_cves CVE[] 사용 가능한 수정 사항이 있는 활성 CVE
removed_container_images_from_previous_release ContainerImages 이전 VHD 릴리스 이후 제거된 이미지
mitigated_cves_from_previous_release CVE[] 이전 VHD 릴리스 이후 수정된 CVE

AKSVHDOSPackageTarget

AKSVHDOSPackageTarget 데이터 모델은 설치된 버전, 영향을 주는 CVE 및 이전 VHD 릴리스의 변경 내용과 함께 VHD 노드 이미지에 설치된 OS 수준 패키지를 나타냅니다.

Field Type Description
name string 패키지 이름(예: "kernel", "containerd", "systemd")
version string 패키지 버전(예: "6.1.109.2-1.cm2")
active_cves CVE[] 사용 가능한 수정 사항이 있는 활성 CVE
previous_version string 이전 VHD 릴리스의 버전(변경되지 않은 경우 비어 있음)
mitigated_cves_from_previous_release CVE[] 이전 VHD 릴리스 이후 수정된 CVE

CVEScanner

CVEScanner 데이터 모델은 컨테이너 이미지에 대한 CVE 검사 결과를 생성하는 취약성 스캐너의 메타데이터를 나타냅니다.

Field Type Description
name string 스캐너 이름(예: "trivy")
version string 스캐너 버전(예: "0.69.1")

CVEList

CVEList 데이터 모델은 특정 컨테이너 이미지에 대해 특정 취약성 스캐너에서 검색한 CVE 집합을 나타냅니다. 각 항목은 검색된 CVE 목록과 스캐너 메타데이터를 연결합니다.

Field Type Description
scanner CVEScanner 이러한 결과를 생성한 스캐너
cves CVE[] 이 스캐너에서 검색된 CVE

CVEMitigation

CVEMitigation 데이터 모델은 구성 요소 버전 및 릴리스 형식에서 단일 CVE를 추적하여 관찰된 위치와 완화된 위치를 보여 줌

Field Type Description
cve CVE 추적 중인 CVE
seen_in_component_versions string[] 이 CVE가 검색된 구성 요소 버전(이미지 태그 또는 패키지 버전)
seen_in_aks_release_versions string[] 이 CVE가 검색된 AKS 릴리스 버전
seen_in_aks_k8s_release_versions string[] 이 CVE가 검색된 Kubernetes 릴리스 버전
seen_in_vhd_release_versions string[] 이 CVE가 검색된 VHD 릴리스 버전
mitigated_in_component_versions string[] 이 CVE가 수정된 구성 요소 버전
mitigated_in_aks_release_versions string[] 이 CVE가 수정된 AKS 릴리스 버전
mitigated_in_aks_k8s_release_versions string[] 이 CVE가 수정된 Kubernetes 릴리스 버전
mitigated_in_vhd_release_versions string[] 이 CVE가 수정된 VHD 릴리스 버전

델타 추적

AKS 릴리스 및 VHD 릴리스 보고서에는 현재 릴리스와 이전 릴리스를 비교하는 델타 필드 가 포함됩니다.

  • mitigated_cves_from_previous_release: 이전 릴리스에 있었지만 더 이상 검색되지 않는 CVE입니다. 즉, 취약성이 수정되었습니다(예: 구성 요소 버전 범프를 통해).
  • removed_container_images_from_previous_release: 이전 릴리스에서 실행되었지만 현재 릴리스에 없는 컨테이너 이미지입니다.

메모

Kubernetes 버전 보고서에는 델타 필드 가 포함되지 않습니다 .

다중 아키텍처 다이제스트

각 컨테이너 이미지에는 서로 다른 CPU 아키텍처(amd64, arm64)를 포함하는 여러 다이제스트 참조가 포함될 수 있습니다. API에는 다중 아키텍처 매니페스트의 모든 Linux 플랫폼 다이제스트 가 포함되어 있으므로 노드를 끌어온 특정 플랫폼 다이제스트에 관계없이 CVE 데이터를 일치시킬 수 있습니다.

보고서 버전 형식

AKS 취약성 데이터 API 보고서는 보고되는 릴리스 유형에 따라 다른 버전 관리 체계를 사용합니다. 다음 표에는 AKS 릴리스, Kubernetes 버전 및 VHD 릴리스에 사용되는 형식이 요약되어 있습니다.

릴리스 유형 포맷 Example
AKS 릴리스 v{YYYYMMDD} v20260104
Kubernetes 버전 Semver 1.33.2
VHD 릴리스 {distro}/{YYYYMM.DD.patch} AKSAzureLinux-gen2/202512.06.0

AKS 취약성 데이터 API에 대한 자세한 내용은 Vulnerability Data API for AKS(Azure Kubernetes Service) 개요 참조하세요.