你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用Azure Kubernetes 服务 (AKS)漏洞数据 API

AKS 漏洞数据 API让你能够以编程方式只读查看AKS 管理的平台组件中检测到的漏洞。 此 API 适用于 安全团队、合规性团队和平台所有者 ,这些所有者需要有关影响 AKS 托管项目(独立于任何特定群集运行时状态)的漏洞的权威信息。

本文介绍如何使用 AKS 漏洞数据 API 以编程方式检索 AKS 托管项目的 CVE 报告,包括 AKS 版本、Kubernetes 版本、节点映像、容器映像和 OS 包。 它提供 API 请求的示例,并演示如何解释响应以支持大规模 CVE 分析、自动化以及与安全扫描程序发现相关的响应。 有关 API 背后的概念的概述,请参阅 vulnerability Data API for Azure Kubernetes 服务 (AKS) overview

查询 CVE 报告

以下示例演示如何查询 AKS 漏洞数据 API,以检索 AKS 版本、Kubernetes 版本、节点映像、容器映像和 OS 包的 CVE 报告。

查询 AKS 版本的 CVE

# 1. List available AKS releases
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-releases/_index | jq '.aks_release_versions'

# 2. Get CVE report for a specific release
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-releases/v20260104/scan-reports | jq '.'

查询 Kubernetes 版本的 CVE

# 1. List available Kubernetes versions
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-k8s-releases/_index | jq '.k8s_versions'

# 2. Get CVE report for a specific Kubernetes version
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-k8s-releases/1.32.9/scan-reports | jq '.'

查询节点映像 (VHD) 的 CVE

# 1. List available VHD releases
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-releases/_index | jq '.vhd_release_versions'

# 2. Get CVE report for a specific VHD
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-releases/AKSUbuntu-gen2-2204containerd/202601.13.0/scan-reports | jq '.'

查询特定容器镜像的 CVE

# Get CVE scan report for a specific tagged container image
curl -s https://cve-api.prod-aks.azure.com/api/v1/container-images/mcr.microsoft.com/oss/kubernetes/kube-proxy:v1.31.11/scan-reports | jq '.'

# Get CVE mitigation history for a container image repository
curl -s https://cve-api.prod-aks.azure.com/api/v1/container-images/mcr.microsoft.com/oss/kubernetes/kube-proxy/mitigation-reports | jq '.'

查询特定 OS 包的 CVE

# Get CVE scan report for a specific OS package version
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-packages/openssl/3.0.2-0ubuntu1.20/scan-reports | jq '.'

# Get CVE mitigation history for an OS package
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-packages/openssl/mitigation-reports | jq '.'

端点

AKS 漏洞数据 API 提供了用于检索 AKS 发布版本、Kubernetes 版本、节点映像、容器映像和操作系统软件包的 CVE 报告的终结点。 每个终结点都提供对可用版本的索引或特定版本或项目的详细扫描报告的访问权限。 以下各节介绍每个终结点、可用操作以及预期的请求和响应格式。

AKS 版本

获取 AKS 发布索引

以下终结点返回具有可用 CVE 报告的所有 AKS 发布版本的索引:

GET /api/v1/aks-releases/_index

示例请求

curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-releases/_index

示例响应

{
  "aks_release_versions": [
    "v20250427",
    "v20250519",
    "v20250617",
    "v20250720",
    "v20250808",
    "v20250829",
    "v20250921",
    "v20251012",
    "v20260104"
  ],
  "report_time": "2026-01-27T16:19:36.181877605Z"
}

响应字段

领域 类型 说明
aks_release_versions string[] 可用的 AKS 版本,按时间顺序排序
report_time 字符串 (ISO 8601) 上次生成此索引时

获取 AKS 发布版本的 CVE 报告

以下终结点返回特定 AKS 发布版本的详细 CVE 报告,其中包括系统命名空间中的所有容器映像、其当前存在的 CVE,以及与上一发布版本相比的 CVE 增量:

GET /api/v1/aks-releases/{version}/scan-reports

路径参数

参数 类型 说明 示例
version 字符串 索引中的 AKS 版本 v20260104

示例请求

curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-releases/v20260104/scan-reports

示例响应(缩写)

{
  "aks_release_version": "v20260104",
  "previous_aks_release_version": "v20251012",
  "container_targets": [
    {
      "pod_namespace": "kube-system",
      "container_name": "coredns",
      "active_container_images": {
        "image_repo_tags": [
          "mcr.microsoft.com/oss/v2/kubernetes/coredns:v1.9.4-9"
        ],
        "image_repo_digests": [
          "mcr.microsoft.com/oss/v2/kubernetes/coredns:v1.9.4-9@sha256:718de5d12a..."
        ]
      },
      "active_cves": [
        {"id": "CVE-2025-47914"},
        {"id": "CVE-2025-58181"},
        {"id": "CVE-2025-61727"},
        {"id": "CVE-2025-61729"}
      ],
      "removed_container_images_from_previous_release": {
        "image_repo_tags": [],
        "image_repo_digests": []
      },
      "mitigated_cves_from_previous_release": []
    },
    {
      "pod_namespace": "gatekeeper-system",
      "container_name": "azure-policy-audit",
      "active_container_images": {
        "image_repo_tags": [
          "mcr.microsoft.com/azure-policy/policy-kubernetes-audit:1.15.3"
        ],
        "image_repo_digests": [
          "mcr.microsoft.com/azure-policy/policy-kubernetes-audit:1.15.3@sha256:67745758..."
        ]
      },
      "active_cves": [
        {"id": "CVE-2025-61727"},
        {"id": "CVE-2025-61729"}
      ],
      "removed_container_images_from_previous_release": {
        "image_repo_tags": [
          "mcr.microsoft.com/azure-policy/policy-kubernetes-audit:1.14.2"
        ],
        "image_repo_digests": [
          "mcr.microsoft.com/azure-policy/policy-kubernetes-audit:1.14.2@sha256:33218f96..."
        ]
      },
      "mitigated_cves_from_previous_release": [
        {"id": "CVE-2025-47912"},
        {"id": "CVE-2025-47914"},
        {"id": "CVE-2025-58181"}
      ]
    }
  ],
  "report_time": "2026-01-27T16:19:36.181877605Z"
}

响应字段

领域 类型 说明
aks_release_version 字符串 当前 AKS 发布版本
previous_aks_release_version 字符串 上一个版本(用于增量计算)
container_targets AKSReleaseContainerTarget[] 此版本中的所有容器组件
report_time 字符串 (ISO 8601) 报表生成时间戳

Kubernetes 版本发布

获取 Kubernetes 版本索引

以下终结点返回具有可用 CVE 报告的所有 Kubernetes 版本的索引:

GET /api/v1/aks-k8s-releases/_index

示例请求

curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-k8s-releases/_index

示例响应

{
  "k8s_versions": [
    "1.27.102",
    "1.27.103",
    "1.28.100",
    "1.29.14",
    "1.30.0",
    "1.30.14",
    "1.31.1",
    "1.32.0",
    "1.32.10",
    "1.33.0",
    "1.33.6",
    "1.34.0",
    "1.34.2"
  ],
  "report_time": "2026-01-27T16:14:37.928201259Z"
}

响应字段

领域 类型 说明
k8s_versions string[] 可用的 Kubernetes 版本,按 semver 排序
report_time 字符串 (ISO 8601) 上次生成此索引时

获取 Kubernetes 版本 CVE 报告

以下终结点返回特定 Kubernetes 版本的 CVE 报告,详细说明了核心 Kubernetes 组件使用的容器映像中的漏洞,以及该版本的 AKS 加载项:

GET /api/v1/aks-k8s-releases/{version}/scan-reports

路径参数

参数 类型 说明 示例
version 字符串 从索引获取的 Kubernetes 版本 1.33.2

示例请求

curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-k8s-releases/1.33.2/scan-reports

示例响应(缩写)

{
  "k8s_version": "1.33.2",
  "container_targets": [
    {
      "container_image": "mcr.microsoft.com/oss/kubernetes/kube-apiserver",
      "active_container_images": {
        "image_repo_tags": [
          "mcr.microsoft.com/oss/kubernetes/kube-apiserver:v1.33.2"
        ],
        "image_repo_digests": [
          "mcr.microsoft.com/oss/kubernetes/kube-apiserver:v1.33.2@sha256:abc123..."
        ]
      },
      "active_cves": [
        {"id": "CVE-2025-47912"},
        {"id": "CVE-2025-58181"}
      ]
    },
    {
      "container_image": "mcr.microsoft.com/aks/aks-app-routing-operator",
      "active_container_images": {
        "image_repo_tags": [
          "mcr.microsoft.com/aks/aks-app-routing-operator:0.0.3"
        ],
        "image_repo_digests": [
          "mcr.microsoft.com/aks/aks-app-routing-operator:0.0.3@sha256:c1ff16ca..."
        ]
      },
      "active_cves": [
        {"id": "CVE-2023-39318"},
        {"id": "CVE-2023-39319"},
        {"id": "CVE-2023-39325"}
      ]
    }
  ],
  "report_time": "2026-01-27T16:14:37.928201259Z"
}

响应字段

领域 类型 说明
k8s_version 字符串 Kubernetes 版本(例如,"1.33.2"
container_targets AKSK8SContainerTarget[] 该 Kubernetess 版本的容器映像
report_time 字符串 (ISO 8601) 报表生成时间戳

VHD(节点映像)发布

获取 VHD 发布版本索引

以下终结点返回具有可用 CVE 报告的所有 VHD 版本的索引:

GET /api/v1/vhd-releases/_index

示例请求

curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-releases/_index

示例响应(缩写)

{
  "vhd_release_versions": [
    "AKSAzureLinux-gen1/202507.02.0",
    "AKSAzureLinux-gen2/202512.06.0",
    "AKSAzureLinux-gen2fips/202510.03.0",
    "AKSAzureLinuxV3-gen2/202511.20.0",
    "AKSCBLMarinerV2-gen2/202508.20.0",
    "AKSUbuntu-gen1-2204containerd/202601.13.0",
    "AKSUbuntu-gen2-2404containerd/202601.13.0"
  ],
  "report_time": "2026-01-27T16:21:23.056129543Z"
}

响应字段

领域 类型 说明
vhd_release_versions string[] 可用的 {distro}/{version} 格式 VHD 版本
report_time 字符串 (ISO 8601) 上次生成此索引时

可用的发行版

发行版前缀 说明
AKSAzureLinux-gen1 Azure Linux V2 第 1 代
AKSAzureLinux-gen2 Azure Linux V2 第 2 代
AKSAzureLinux-gen1fips Azure Linux V2、第 1 代、已启用 FIPS
AKSAzureLinux-gen2fips Azure Linux V2、第 2 代、已启用 FIPS
AKSAzureLinux-gen2kata Azure Linux V2、Gen 2、Kata 容器
AKSAzureLinux-gen2tl Azure Linux V2、第 2 代、TL 变体
AKSAzureLinuxV3-gen1 Azure Linux V3 第 1 代
AKSAzureLinuxV3-gen2 Azure Linux V3 第 2 代
AKSAzureLinuxV3-gen1fips Azure Linux V3、第 1 代、已启用 FIPS
AKSAzureLinuxV3-gen2fips Azure Linux V3、第 2 代、已启用 FIPS
AKSAzureLinuxV3-gen2tl Azure Linux V3、第 2 代、TL 变体
AKSCBLMarinerV2-gen1 CBL-Mariner V2 第 1 代
AKSCBLMarinerV2-gen2 CBL-Mariner V2 第 2 代
AKSCBLMarinerV2-gen1fips CBL-Mariner V2、第 1 代、已启用 FIPS
AKSCBLMarinerV2-gen2fips CBL-Mariner V2、第 2 代、已启用 FIPS
AKSCBLMarinerV2-gen2kata CBL-Mariner V2、Gen 2、Kata 容器
AKSCBLMarinerV2-gen2tl CBL-Mariner V2、第 2 代、TL 变体
AKSUbuntu-gen1-2004fipscontainerd Ubuntu 20.04、Gen 1、FIPS
AKSUbuntu-gen1-2204containerd Ubuntu 22.04 第 1 代
AKSUbuntu-gen1-2404containerd Ubuntu 24.04 第 1 代
AKSUbuntu-gen2-2004cvmcontainerd Ubuntu 20.04、第 2 代、机密 VM
AKSUbuntu-gen2-2004fipscontainerd Ubuntu 20.04、第 2 代、FIPS
AKSUbuntu-gen2-2204containerd Ubuntu 22.04 第 2 代
AKSUbuntu-gen2-2404containerd Ubuntu 24.04 第 2 代
AKSUbuntu-gen2-2204tlcontainerd Ubuntu 22.04、第 2 代、TL 变体
AKSUbuntu-gen2-2404tlcontainerd Ubuntu 24.04、第 2 代、TL 变体

获取 VHD 发布版 CVE 报告

以下终结点返回特定 VHD 版本的 CVE 报告,包括该版本中包括的 OS 包和容器映像:

GET /api/v1/vhd-releases/{distro}/{version}/scan-reports

路径参数

参数 类型 说明 示例
distro 字符串 Linux 分发标识符 AKSUbuntu-gen2-2204containerd
version 字符串 VHD 发布版本 202601.13.0

示例请求

curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-releases/AKSUbuntu-gen2-2204containerd/202601.13.0/scan-reports

示例响应(缩写)

{
  "distro_name": "AKSUbuntu/gen2/2204containerd",
  "vhd_release_version": "202601.13.0",
  "previous_vhd_release_version": "202512.06.0",
  "os_package_targets": [
    {
      "name": "libtasn1-6",
      "version": "4.18.0-4ubuntu0.2",
      "active_cves": [],
      "previous_version": "4.18.0-4ubuntu0.1",
      "mitigated_cves_from_previous_release": [
        {"id": "CVE-2021-46848"},
        {"id": "CVE-2025-13151"}
      ]
    },
    {
      "name": "python3.10",
      "version": "3.10.12-1~22.04.13",
      "active_cves": [],
      "previous_version": "3.10.12-1~22.04.12",
      "mitigated_cves_from_previous_release": [
        {"id": "CVE-2025-13836"}
      ]
    }
  ],
  "container_targets": [
    {
      "container_image": "mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-collector/images",
      "active_container_images": {
        "image_repo_tags": [
          "mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-collector/images:6.24.1-main-11-14-2025-15146744-cfg"
        ],
        "image_repo_digests": [
          "mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-collector/images:6.24.1-main-11-14-2025-15146744-cfg@sha256:6ce08d12..."
        ]
      },
      "active_cves": [],
      "removed_container_images_from_previous_release": {
        "image_repo_tags": [
          "mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-collector/images:6.24.0-main-10-20-2025-fe8f6d51-targetallocator"
        ],
        "image_repo_digests": [
          "mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-collector/images:6.24.0-main-10-20-2025-fe8f6d51-targetallocator@sha256:314e20ca..."
        ]
      },
      "mitigated_cves_from_previous_release": [
        {"id": "CVE-2025-47914"},
        {"id": "CVE-2025-4802"},
        {"id": "CVE-2025-58181"},
        {"id": "CVE-2025-61727"},
        {"id": "CVE-2025-61729"}
      ]
    }
  ],
  "report_time": "2026-01-27T16:21:23.056129543Z"
}

响应字段

领域 类型 说明
distro_name 字符串 Linux 分发名称(例如) "AKSAzureLinux/gen2"
vhd_release_version 字符串 当前 VHD 发布版本
previous_vhd_release_version 字符串 上一 VHD 发布版本
os_package_targets AKSVHDOSPackageTarget[] 此 VHD 中的操作系统软件包
container_targets AKSVHDContainerTarget[] 此 VHD 中包含的容器映像
report_time 字符串 (ISO 8601) 报表生成时间戳

容器映像

容器映像端点提供针对单个容器映像的按映像 CVE 扫描报告以及跨版本缓解措施跟踪。 这些端点没有 _index 列表;你需要通过完整的映像路径进行导航。

获取容器映像 CVE 扫描报告

以下端点可根据完整的映像路径和标记检索特定容器映像的 CVE 扫描报告:

GET /api/v1/container-images/{image}:{tag}/scan-reports

路径参数

参数 类型 说明 示例
image 字符串 包含注册表的完整映像名称 mcr.microsoft.com/oss/kubernetes/kube-proxy
tag 字符串 图像标签 v1.31.11

示例请求

curl -s https://cve-api.prod-aks.azure.com/api/v1/container-images/mcr.microsoft.com/oss/kubernetes/kube-proxy:v1.31.11/scan-reports

示例响应(缩写)

{
  "image_repo_tags": [
    "mcr.microsoft.com/oss/kubernetes/kube-proxy:v1.31.11"
  ],
  "image_repo_digests": [
    "mcr.microsoft.com/oss/kubernetes/kube-proxy:v1.31.11@sha256:abc123..."
  ],
  "report_time": "2026-02-20T16:12:42.081442479Z",
  "active_cves": [
    {
      "scanner": {
        "name": "trivy",
        "version": "0.69.1"
      },
      "cves": [
        {"id": "CVE-2024-13176"},
        {"id": "CVE-2025-47914"}
      ]
    }
  ]
}

响应字段

领域 类型 说明
image_repo_tags string[] 已扫描映像的映像标记
image_repo_digests string[] 所有受支持平台的映像摘要
report_time 字符串 (ISO 8601) 报表生成时间戳
active_cves CVEList[] 按扫描器分组的活跃 CVE

获取容器映像 CVE 缓解情况报告

以下端点用于获取特定容器镜像仓库的 CVE 缓解报告,并显示哪些 CVE 出现在哪些组件版本和发行版本中,以及它们在哪些版本和发行版本中得到了缓解:

GET /api/v1/container-images/{image}/mitigation-reports

路径参数

参数 类型 说明 示例
image 字符串 包含注册表的完整映像名称(不含标记) mcr.microsoft.com/oss/kubernetes/kube-proxy

示例请求

curl -s https://cve-api.prod-aks.azure.com/api/v1/container-images/mcr.microsoft.com/oss/kubernetes/kube-proxy/mitigation-reports

示例响应(缩写)

{
  "container_image": "mcr.microsoft.com/oss/kubernetes/kube-proxy",
  "mitigations": [
    {
      "cve": {"id": "CVE-2023-2253"},
      "seen_in_component_versions": ["v1.27.102-akslts"],
      "seen_in_aks_release_versions": [],
      "seen_in_aks_k8s_release_versions": [],
      "seen_in_vhd_release_versions": ["AKSAzureLinux-gen1/202507.02.0"],
      "mitigated_in_component_versions": [],
      "mitigated_in_aks_release_versions": [],
      "mitigated_in_aks_k8s_release_versions": [],
      "mitigated_in_vhd_release_versions": []
    }
  ]
}

响应字段

领域 类型 说明
container_image 字符串 不带标记的图像名称
mitigations CVEMitigation[] 该镜像的 CVE 缓解措施条目

VHD 操作系统包

VHD 操作系统软件包端点为安装在 VHD 节点镜像中的各个操作系统软件包提供按软件包的 CVE 扫描报告以及跨版本缓解措施跟踪。 这些端点没有_index列表;你需要按包名称导航。

获取 VHD OS 包 CVE 扫描报告

以下端点用于检索安装在 VHD 节点镜像中的特定操作系统软件包版本的 CVE 扫描报告:

GET /api/v1/vhd-packages/{name}/{version}/scan-reports

路径参数

参数 类型 说明 示例
name 字符串 OS 包名称(小写) openssl
version 字符串 软件包版本 3.0.2-0ubuntu1.20

示例请求

curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-packages/openssl/3.0.2-0ubuntu1.20/scan-reports

示例响应

{
  "name": "openssl",
  "version": "3.0.2-0ubuntu1.20",
  "active_cves": [
    {"id": "CVE-2025-15467"},
    {"id": "CVE-2025-68160"}
  ],
  "report_time": "2026-02-20T16:14:09.253455099Z"
}

响应字段

领域 类型 说明
name 字符串 包名称
version 字符串 软件包版本
active_cves CVE[] 已有修复措施的活跃 CVE
report_time 字符串 (ISO 8601) 报表生成时间戳

获取 VHD OS 包 CVE 缓解报告

以下端点用于获取特定 OS 包的 CVE 缓解报告,并显示哪些 CVE 出现于哪些包版本和 VHD 版本中,以及它们在哪些版本中已得到缓解:

GET /api/v1/vhd-packages/{name}/mitigation-reports

路径参数

参数 类型 说明 示例
name 字符串 OS 包名称(小写) openssl

示例请求

curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-packages/openssl/mitigation-reports

示例响应(缩写)

{
  "package_name": "openssl",
  "mitigations": [
    {
      "cve": {"id": "CVE-2025-15467"},
      "seen_in_component_versions": ["3.3.3-2.azl3", "3.3.3-3.azl3"],
      "seen_in_aks_release_versions": [],
      "seen_in_aks_k8s_release_versions": [],
      "seen_in_vhd_release_versions": ["AKSAzureLinuxV3-gen1/202507.02.0"],
      "mitigated_in_component_versions": [],
      "mitigated_in_aks_release_versions": [],
      "mitigated_in_aks_k8s_release_versions": [],
      "mitigated_in_vhd_release_versions": []
    }
  ]
}

响应字段

领域 类型 说明
package_name 字符串 OS 包名称
mitigations CVEMitigation[] 该软件包的 CVE 缓解措施条目

数据模型

以下部分介绍 AKS 漏洞数据 API 返回的数据模型,包括 CVE 条目的结构、容器映像引用、AKS 发布组件、VHD OS 包及其之间的关系。

CVE

CVE 数据模型是常见漏洞和暴露标识符。

领域 类型 说明
id 字符串 CVE 标识符(例如,"CVE-2024-13176""GHSA-2464-8j7c-4cjm"

ContainerImages

ContainerImages 数据模型表示一组容器映像引用,包括可读标记和内容可寻址摘要。

领域 类型 说明
image_repo_tags string[] 图像标记(例如, "mcr.microsoft.com/oss/kubernetes/coredns:v1.9.4-9"
image_repo_digests string[] 所有支持平台的镜像摘要(例如,"mcr.microsoft.com/oss/kubernetes/coredns:v1.9.4-9@sha256:abc..."

注释

摘要包含来自多体系结构清单的所有 Linux 平台变体(amd64,arm64)。 这使得无论您的节点拉取了哪个平台的特定摘要,都能匹配相应的 CVE 数据。

AKSReleaseContainerTarget

AKSReleaseContainerTarget 数据模型表示特定 AKS 发布版本中的容器组件,该组件通过其运行所在的 Pod 命名空间和容器名称进行标识,以及其使用的容器映像和受其影响的 CVE。

领域 类型 说明
pod_namespace 字符串 Kubernetes 命名空间(例如,"kube-system""calico-system"
container_name 字符串 容器名称(例如,"coredns""calico-node"
active_container_images ContainerImages 当前为此组件运行的容器镜像
active_cves CVE[] 当前影响此组件且有可用修复方案的 CVE
removed_container_images_from_previous_release ContainerImages 上一个版本中存在但当前已不再运行的映像
mitigated_cves_from_previous_release CVE[] 上一版本中存在但已在此版本中修复的 CVE

AKSK8SContainerTarget

AKSK8SContainerTarget 数据模型表示与特定 Kubernetes 版本关联的容器映像,包括该映像的带标记的映像引用、摘要以及影响该映像的 CVE。

领域 类型 说明
container_image 字符串 不带标记的图像名称(例如 "mcr.microsoft.com/oss/kubernetes/kube-apiserver"
active_container_images ContainerImages 带标签的镜像引用和摘要
active_cves CVE[] 已有修复措施的活跃 CVE

AKSVHDContainerTarget

AKSVHDContainerTarget 数据模型表示包含在 VHD 节点镜像中的容器镜像,以及相关的带标签镜像引用、摘要和影响该镜像的 CVE。

领域 类型 说明
container_image 字符串 不带标记的图像名称
active_container_images ContainerImages 带标签的镜像引用和摘要
active_cves CVE[] 已有修复措施的活跃 CVE
removed_container_images_from_previous_release ContainerImages 自上一 VHD 版本发布以来已删除的映像
mitigated_cves_from_previous_release CVE[] 自上次 VHD 发布以来已修复的 CVE

AKSVHDOSPackageTarget

AKSVHDOSPackageTarget 数据模型表示在 VHD 节点映像中安装的 OS 级包,以及安装的版本、影响它的 CVE 以及之前 VHD 版本所做的任何更改。

领域 类型 说明
name 字符串 包名称 (例如, "kernel""containerd""systemd"
version 字符串 包版本(例如, "6.1.109.2-1.cm2"
active_cves CVE[] 已有修复措施的活跃 CVE
previous_version 字符串 上一 VHD 版本中的版本(如果未更改,则为空)
mitigated_cves_from_previous_release CVE[] 自上次 VHD 发布以来已修复的 CVE

CVEScanner

CVEScanner 数据模型表示漏洞扫描程序的元数据,该扫描程序为容器映像生成 CVE 扫描结果。

领域 类型 说明
name 字符串 扫描程序名称(例如, "trivy"
version 字符串 扫描程序版本 (例如, "0.69.1"

CVEList

CVEList 数据模型表示由给定容器映像的特定漏洞扫描程序检测到的一组 CVE。 每个条目将扫描程序元数据与检测到的 CVE 列表相关联。

领域 类型 说明
scanner CVEScanner 生成这些结果的扫描程序
cves CVE[] 此扫描程序检测到的 CVE

CVEMitigation

CVEMitigation 数据模型用于跨不同组件版本和发布类型跟踪单个 CVE,并显示其发现于何处以及于何处得到缓解。

领域 类型 说明
cve CVE 正在跟踪的 CVE
seen_in_component_versions string[] 检测到该 CVE 的组件版本(镜像标签或软件包版本)
seen_in_aks_release_versions string[] 检测到该 CVE 的 AKS 发布版本
seen_in_aks_k8s_release_versions string[] 检测到存在此 CVE 的 Kubernetes 发布版本
seen_in_vhd_release_versions string[] 检测到此 CVE 的 VHD 发布版本
mitigated_in_component_versions string[] 修复了此 CVE 的组件版本
mitigated_in_aks_release_versions string[] 已修复此 CVE 的 AKS 发布版本
mitigated_in_aks_k8s_release_versions string[] 已修复此 CVE 的 Kubernetes 发布版本
mitigated_in_vhd_release_versions string[] 已修复此 CVE 的 VHD 发布版本

Delta 追踪

AKS 发布和 VHD 发布报告包含 Delta 字段,用于比较当前版本与上一版本:

  • mitigated_cves_from_previous_release:上一版本中存在的但不再检测到的 CVE。 这意味着漏洞已修复(例如,通过升级组件版本)。
  • removed_container_images_from_previous_release:在上一版本中运行的容器映像,但在当前版本中不存在。

注释

Kubernetes 版本报告中 不包含 增量字段。

多架构摘要

每个容器映像可能包含涵盖不同 CPU 体系结构(amd64、arm64)的多个摘要引用。 该 API 包括多体系结构清单 中的所有 Linux 平台摘要 ,因此,无论节点提取的具体平台摘要如何,都可以匹配 CVE 数据。

报表版本格式

AKS 漏洞数据 API 报告根据所报告的发布类型使用不同的版本控制方案。 下表总结了用于 AKS 版本、Kubernetes 版本和 VHD 版本的格式:

发布类型 Format 示例
AKS 版本 v{YYYYMMDD} v20260104
Kubernetes 版本 Semver 1.33.2
VHD 发行版 {distro}/{YYYYMM.DD.patch} AKSAzureLinux-gen2/202512.06.0

有关 AKS 漏洞数据 API 的详细信息,请参阅 vulnerability Data API for Azure Kubernetes 服务 (AKS) 概述