你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
AKS 漏洞数据 API让你能够以编程方式只读查看AKS 管理的平台组件中检测到的漏洞。 此 API 适用于 安全团队、合规性团队和平台所有者 ,这些所有者需要有关影响 AKS 托管项目(独立于任何特定群集运行时状态)的漏洞的权威信息。
本文介绍如何使用 AKS 漏洞数据 API 以编程方式检索 AKS 托管项目的 CVE 报告,包括 AKS 版本、Kubernetes 版本、节点映像、容器映像和 OS 包。 它提供 API 请求的示例,并演示如何解释响应以支持大规模 CVE 分析、自动化以及与安全扫描程序发现相关的响应。 有关 API 背后的概念的概述,请参阅 vulnerability Data API for Azure Kubernetes 服务 (AKS) overview。
查询 CVE 报告
以下示例演示如何查询 AKS 漏洞数据 API,以检索 AKS 版本、Kubernetes 版本、节点映像、容器映像和 OS 包的 CVE 报告。
查询 AKS 版本的 CVE
# 1. List available AKS releases
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-releases/_index | jq '.aks_release_versions'
# 2. Get CVE report for a specific release
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-releases/v20260104/scan-reports | jq '.'
查询 Kubernetes 版本的 CVE
# 1. List available Kubernetes versions
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-k8s-releases/_index | jq '.k8s_versions'
# 2. Get CVE report for a specific Kubernetes version
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-k8s-releases/1.32.9/scan-reports | jq '.'
查询节点映像 (VHD) 的 CVE
# 1. List available VHD releases
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-releases/_index | jq '.vhd_release_versions'
# 2. Get CVE report for a specific VHD
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-releases/AKSUbuntu-gen2-2204containerd/202601.13.0/scan-reports | jq '.'
查询特定容器镜像的 CVE
# Get CVE scan report for a specific tagged container image
curl -s https://cve-api.prod-aks.azure.com/api/v1/container-images/mcr.microsoft.com/oss/kubernetes/kube-proxy:v1.31.11/scan-reports | jq '.'
# Get CVE mitigation history for a container image repository
curl -s https://cve-api.prod-aks.azure.com/api/v1/container-images/mcr.microsoft.com/oss/kubernetes/kube-proxy/mitigation-reports | jq '.'
查询特定 OS 包的 CVE
# Get CVE scan report for a specific OS package version
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-packages/openssl/3.0.2-0ubuntu1.20/scan-reports | jq '.'
# Get CVE mitigation history for an OS package
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-packages/openssl/mitigation-reports | jq '.'
端点
AKS 漏洞数据 API 提供了用于检索 AKS 发布版本、Kubernetes 版本、节点映像、容器映像和操作系统软件包的 CVE 报告的终结点。 每个终结点都提供对可用版本的索引或特定版本或项目的详细扫描报告的访问权限。 以下各节介绍每个终结点、可用操作以及预期的请求和响应格式。
AKS 版本
获取 AKS 发布索引
以下终结点返回具有可用 CVE 报告的所有 AKS 发布版本的索引:
GET /api/v1/aks-releases/_index
示例请求:
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-releases/_index
示例响应:
{
"aks_release_versions": [
"v20250427",
"v20250519",
"v20250617",
"v20250720",
"v20250808",
"v20250829",
"v20250921",
"v20251012",
"v20260104"
],
"report_time": "2026-01-27T16:19:36.181877605Z"
}
响应字段:
| 领域 | 类型 | 说明 |
|---|---|---|
aks_release_versions |
string[] | 可用的 AKS 版本,按时间顺序排序 |
report_time |
字符串 (ISO 8601) | 上次生成此索引时 |
获取 AKS 发布版本的 CVE 报告
以下终结点返回特定 AKS 发布版本的详细 CVE 报告,其中包括系统命名空间中的所有容器映像、其当前存在的 CVE,以及与上一发布版本相比的 CVE 增量:
GET /api/v1/aks-releases/{version}/scan-reports
路径参数:
| 参数 | 类型 | 说明 | 示例 |
|---|---|---|---|
version |
字符串 | 索引中的 AKS 版本 | v20260104 |
示例请求:
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-releases/v20260104/scan-reports
示例响应(缩写):
{
"aks_release_version": "v20260104",
"previous_aks_release_version": "v20251012",
"container_targets": [
{
"pod_namespace": "kube-system",
"container_name": "coredns",
"active_container_images": {
"image_repo_tags": [
"mcr.microsoft.com/oss/v2/kubernetes/coredns:v1.9.4-9"
],
"image_repo_digests": [
"mcr.microsoft.com/oss/v2/kubernetes/coredns:v1.9.4-9@sha256:718de5d12a..."
]
},
"active_cves": [
{"id": "CVE-2025-47914"},
{"id": "CVE-2025-58181"},
{"id": "CVE-2025-61727"},
{"id": "CVE-2025-61729"}
],
"removed_container_images_from_previous_release": {
"image_repo_tags": [],
"image_repo_digests": []
},
"mitigated_cves_from_previous_release": []
},
{
"pod_namespace": "gatekeeper-system",
"container_name": "azure-policy-audit",
"active_container_images": {
"image_repo_tags": [
"mcr.microsoft.com/azure-policy/policy-kubernetes-audit:1.15.3"
],
"image_repo_digests": [
"mcr.microsoft.com/azure-policy/policy-kubernetes-audit:1.15.3@sha256:67745758..."
]
},
"active_cves": [
{"id": "CVE-2025-61727"},
{"id": "CVE-2025-61729"}
],
"removed_container_images_from_previous_release": {
"image_repo_tags": [
"mcr.microsoft.com/azure-policy/policy-kubernetes-audit:1.14.2"
],
"image_repo_digests": [
"mcr.microsoft.com/azure-policy/policy-kubernetes-audit:1.14.2@sha256:33218f96..."
]
},
"mitigated_cves_from_previous_release": [
{"id": "CVE-2025-47912"},
{"id": "CVE-2025-47914"},
{"id": "CVE-2025-58181"}
]
}
],
"report_time": "2026-01-27T16:19:36.181877605Z"
}
响应字段:
| 领域 | 类型 | 说明 |
|---|---|---|
aks_release_version |
字符串 | 当前 AKS 发布版本 |
previous_aks_release_version |
字符串 | 上一个版本(用于增量计算) |
container_targets |
AKSReleaseContainerTarget[] | 此版本中的所有容器组件 |
report_time |
字符串 (ISO 8601) | 报表生成时间戳 |
Kubernetes 版本发布
获取 Kubernetes 版本索引
以下终结点返回具有可用 CVE 报告的所有 Kubernetes 版本的索引:
GET /api/v1/aks-k8s-releases/_index
示例请求:
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-k8s-releases/_index
示例响应:
{
"k8s_versions": [
"1.27.102",
"1.27.103",
"1.28.100",
"1.29.14",
"1.30.0",
"1.30.14",
"1.31.1",
"1.32.0",
"1.32.10",
"1.33.0",
"1.33.6",
"1.34.0",
"1.34.2"
],
"report_time": "2026-01-27T16:14:37.928201259Z"
}
响应字段:
| 领域 | 类型 | 说明 |
|---|---|---|
k8s_versions |
string[] | 可用的 Kubernetes 版本,按 semver 排序 |
report_time |
字符串 (ISO 8601) | 上次生成此索引时 |
获取 Kubernetes 版本 CVE 报告
以下终结点返回特定 Kubernetes 版本的 CVE 报告,详细说明了核心 Kubernetes 组件使用的容器映像中的漏洞,以及该版本的 AKS 加载项:
GET /api/v1/aks-k8s-releases/{version}/scan-reports
路径参数:
| 参数 | 类型 | 说明 | 示例 |
|---|---|---|---|
version |
字符串 | 从索引获取的 Kubernetes 版本 | 1.33.2 |
示例请求:
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-k8s-releases/1.33.2/scan-reports
示例响应(缩写):
{
"k8s_version": "1.33.2",
"container_targets": [
{
"container_image": "mcr.microsoft.com/oss/kubernetes/kube-apiserver",
"active_container_images": {
"image_repo_tags": [
"mcr.microsoft.com/oss/kubernetes/kube-apiserver:v1.33.2"
],
"image_repo_digests": [
"mcr.microsoft.com/oss/kubernetes/kube-apiserver:v1.33.2@sha256:abc123..."
]
},
"active_cves": [
{"id": "CVE-2025-47912"},
{"id": "CVE-2025-58181"}
]
},
{
"container_image": "mcr.microsoft.com/aks/aks-app-routing-operator",
"active_container_images": {
"image_repo_tags": [
"mcr.microsoft.com/aks/aks-app-routing-operator:0.0.3"
],
"image_repo_digests": [
"mcr.microsoft.com/aks/aks-app-routing-operator:0.0.3@sha256:c1ff16ca..."
]
},
"active_cves": [
{"id": "CVE-2023-39318"},
{"id": "CVE-2023-39319"},
{"id": "CVE-2023-39325"}
]
}
],
"report_time": "2026-01-27T16:14:37.928201259Z"
}
响应字段:
| 领域 | 类型 | 说明 |
|---|---|---|
k8s_version |
字符串 | Kubernetes 版本(例如,"1.33.2") |
container_targets |
AKSK8SContainerTarget[] | 该 Kubernetess 版本的容器映像 |
report_time |
字符串 (ISO 8601) | 报表生成时间戳 |
VHD(节点映像)发布
获取 VHD 发布版本索引
以下终结点返回具有可用 CVE 报告的所有 VHD 版本的索引:
GET /api/v1/vhd-releases/_index
示例请求:
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-releases/_index
示例响应(缩写):
{
"vhd_release_versions": [
"AKSAzureLinux-gen1/202507.02.0",
"AKSAzureLinux-gen2/202512.06.0",
"AKSAzureLinux-gen2fips/202510.03.0",
"AKSAzureLinuxV3-gen2/202511.20.0",
"AKSCBLMarinerV2-gen2/202508.20.0",
"AKSUbuntu-gen1-2204containerd/202601.13.0",
"AKSUbuntu-gen2-2404containerd/202601.13.0"
],
"report_time": "2026-01-27T16:21:23.056129543Z"
}
响应字段:
| 领域 | 类型 | 说明 |
|---|---|---|
vhd_release_versions |
string[] | 可用的 {distro}/{version} 格式 VHD 版本 |
report_time |
字符串 (ISO 8601) | 上次生成此索引时 |
可用的发行版:
| 发行版前缀 | 说明 |
|---|---|
AKSAzureLinux-gen1 |
Azure Linux V2 第 1 代 |
AKSAzureLinux-gen2 |
Azure Linux V2 第 2 代 |
AKSAzureLinux-gen1fips |
Azure Linux V2、第 1 代、已启用 FIPS |
AKSAzureLinux-gen2fips |
Azure Linux V2、第 2 代、已启用 FIPS |
AKSAzureLinux-gen2kata |
Azure Linux V2、Gen 2、Kata 容器 |
AKSAzureLinux-gen2tl |
Azure Linux V2、第 2 代、TL 变体 |
AKSAzureLinuxV3-gen1 |
Azure Linux V3 第 1 代 |
AKSAzureLinuxV3-gen2 |
Azure Linux V3 第 2 代 |
AKSAzureLinuxV3-gen1fips |
Azure Linux V3、第 1 代、已启用 FIPS |
AKSAzureLinuxV3-gen2fips |
Azure Linux V3、第 2 代、已启用 FIPS |
AKSAzureLinuxV3-gen2tl |
Azure Linux V3、第 2 代、TL 变体 |
AKSCBLMarinerV2-gen1 |
CBL-Mariner V2 第 1 代 |
AKSCBLMarinerV2-gen2 |
CBL-Mariner V2 第 2 代 |
AKSCBLMarinerV2-gen1fips |
CBL-Mariner V2、第 1 代、已启用 FIPS |
AKSCBLMarinerV2-gen2fips |
CBL-Mariner V2、第 2 代、已启用 FIPS |
AKSCBLMarinerV2-gen2kata |
CBL-Mariner V2、Gen 2、Kata 容器 |
AKSCBLMarinerV2-gen2tl |
CBL-Mariner V2、第 2 代、TL 变体 |
AKSUbuntu-gen1-2004fipscontainerd |
Ubuntu 20.04、Gen 1、FIPS |
AKSUbuntu-gen1-2204containerd |
Ubuntu 22.04 第 1 代 |
AKSUbuntu-gen1-2404containerd |
Ubuntu 24.04 第 1 代 |
AKSUbuntu-gen2-2004cvmcontainerd |
Ubuntu 20.04、第 2 代、机密 VM |
AKSUbuntu-gen2-2004fipscontainerd |
Ubuntu 20.04、第 2 代、FIPS |
AKSUbuntu-gen2-2204containerd |
Ubuntu 22.04 第 2 代 |
AKSUbuntu-gen2-2404containerd |
Ubuntu 24.04 第 2 代 |
AKSUbuntu-gen2-2204tlcontainerd |
Ubuntu 22.04、第 2 代、TL 变体 |
AKSUbuntu-gen2-2404tlcontainerd |
Ubuntu 24.04、第 2 代、TL 变体 |
获取 VHD 发布版 CVE 报告
以下终结点返回特定 VHD 版本的 CVE 报告,包括该版本中包括的 OS 包和容器映像:
GET /api/v1/vhd-releases/{distro}/{version}/scan-reports
路径参数:
| 参数 | 类型 | 说明 | 示例 |
|---|---|---|---|
distro |
字符串 | Linux 分发标识符 | AKSUbuntu-gen2-2204containerd |
version |
字符串 | VHD 发布版本 | 202601.13.0 |
示例请求:
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-releases/AKSUbuntu-gen2-2204containerd/202601.13.0/scan-reports
示例响应(缩写):
{
"distro_name": "AKSUbuntu/gen2/2204containerd",
"vhd_release_version": "202601.13.0",
"previous_vhd_release_version": "202512.06.0",
"os_package_targets": [
{
"name": "libtasn1-6",
"version": "4.18.0-4ubuntu0.2",
"active_cves": [],
"previous_version": "4.18.0-4ubuntu0.1",
"mitigated_cves_from_previous_release": [
{"id": "CVE-2021-46848"},
{"id": "CVE-2025-13151"}
]
},
{
"name": "python3.10",
"version": "3.10.12-1~22.04.13",
"active_cves": [],
"previous_version": "3.10.12-1~22.04.12",
"mitigated_cves_from_previous_release": [
{"id": "CVE-2025-13836"}
]
}
],
"container_targets": [
{
"container_image": "mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-collector/images",
"active_container_images": {
"image_repo_tags": [
"mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-collector/images:6.24.1-main-11-14-2025-15146744-cfg"
],
"image_repo_digests": [
"mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-collector/images:6.24.1-main-11-14-2025-15146744-cfg@sha256:6ce08d12..."
]
},
"active_cves": [],
"removed_container_images_from_previous_release": {
"image_repo_tags": [
"mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-collector/images:6.24.0-main-10-20-2025-fe8f6d51-targetallocator"
],
"image_repo_digests": [
"mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-collector/images:6.24.0-main-10-20-2025-fe8f6d51-targetallocator@sha256:314e20ca..."
]
},
"mitigated_cves_from_previous_release": [
{"id": "CVE-2025-47914"},
{"id": "CVE-2025-4802"},
{"id": "CVE-2025-58181"},
{"id": "CVE-2025-61727"},
{"id": "CVE-2025-61729"}
]
}
],
"report_time": "2026-01-27T16:21:23.056129543Z"
}
响应字段:
| 领域 | 类型 | 说明 |
|---|---|---|
distro_name |
字符串 | Linux 分发名称(例如) "AKSAzureLinux/gen2" |
vhd_release_version |
字符串 | 当前 VHD 发布版本 |
previous_vhd_release_version |
字符串 | 上一 VHD 发布版本 |
os_package_targets |
AKSVHDOSPackageTarget[] | 此 VHD 中的操作系统软件包 |
container_targets |
AKSVHDContainerTarget[] | 此 VHD 中包含的容器映像 |
report_time |
字符串 (ISO 8601) | 报表生成时间戳 |
容器映像
容器映像端点提供针对单个容器映像的按映像 CVE 扫描报告以及跨版本缓解措施跟踪。 这些端点没有 _index 列表;你需要通过完整的映像路径进行导航。
获取容器映像 CVE 扫描报告
以下端点可根据完整的映像路径和标记检索特定容器映像的 CVE 扫描报告:
GET /api/v1/container-images/{image}:{tag}/scan-reports
路径参数:
| 参数 | 类型 | 说明 | 示例 |
|---|---|---|---|
image |
字符串 | 包含注册表的完整映像名称 | mcr.microsoft.com/oss/kubernetes/kube-proxy |
tag |
字符串 | 图像标签 | v1.31.11 |
示例请求:
curl -s https://cve-api.prod-aks.azure.com/api/v1/container-images/mcr.microsoft.com/oss/kubernetes/kube-proxy:v1.31.11/scan-reports
示例响应(缩写):
{
"image_repo_tags": [
"mcr.microsoft.com/oss/kubernetes/kube-proxy:v1.31.11"
],
"image_repo_digests": [
"mcr.microsoft.com/oss/kubernetes/kube-proxy:v1.31.11@sha256:abc123..."
],
"report_time": "2026-02-20T16:12:42.081442479Z",
"active_cves": [
{
"scanner": {
"name": "trivy",
"version": "0.69.1"
},
"cves": [
{"id": "CVE-2024-13176"},
{"id": "CVE-2025-47914"}
]
}
]
}
响应字段:
| 领域 | 类型 | 说明 |
|---|---|---|
image_repo_tags |
string[] | 已扫描映像的映像标记 |
image_repo_digests |
string[] | 所有受支持平台的映像摘要 |
report_time |
字符串 (ISO 8601) | 报表生成时间戳 |
active_cves |
CVEList[] | 按扫描器分组的活跃 CVE |
获取容器映像 CVE 缓解情况报告
以下端点用于获取特定容器镜像仓库的 CVE 缓解报告,并显示哪些 CVE 出现在哪些组件版本和发行版本中,以及它们在哪些版本和发行版本中得到了缓解:
GET /api/v1/container-images/{image}/mitigation-reports
路径参数:
| 参数 | 类型 | 说明 | 示例 |
|---|---|---|---|
image |
字符串 | 包含注册表的完整映像名称(不含标记) | mcr.microsoft.com/oss/kubernetes/kube-proxy |
示例请求:
curl -s https://cve-api.prod-aks.azure.com/api/v1/container-images/mcr.microsoft.com/oss/kubernetes/kube-proxy/mitigation-reports
示例响应(缩写):
{
"container_image": "mcr.microsoft.com/oss/kubernetes/kube-proxy",
"mitigations": [
{
"cve": {"id": "CVE-2023-2253"},
"seen_in_component_versions": ["v1.27.102-akslts"],
"seen_in_aks_release_versions": [],
"seen_in_aks_k8s_release_versions": [],
"seen_in_vhd_release_versions": ["AKSAzureLinux-gen1/202507.02.0"],
"mitigated_in_component_versions": [],
"mitigated_in_aks_release_versions": [],
"mitigated_in_aks_k8s_release_versions": [],
"mitigated_in_vhd_release_versions": []
}
]
}
响应字段:
| 领域 | 类型 | 说明 |
|---|---|---|
container_image |
字符串 | 不带标记的图像名称 |
mitigations |
CVEMitigation[] | 该镜像的 CVE 缓解措施条目 |
VHD 操作系统包
VHD 操作系统软件包端点为安装在 VHD 节点镜像中的各个操作系统软件包提供按软件包的 CVE 扫描报告以及跨版本缓解措施跟踪。 这些端点没有_index列表;你需要按包名称导航。
获取 VHD OS 包 CVE 扫描报告
以下端点用于检索安装在 VHD 节点镜像中的特定操作系统软件包版本的 CVE 扫描报告:
GET /api/v1/vhd-packages/{name}/{version}/scan-reports
路径参数:
| 参数 | 类型 | 说明 | 示例 |
|---|---|---|---|
name |
字符串 | OS 包名称(小写) | openssl |
version |
字符串 | 软件包版本 | 3.0.2-0ubuntu1.20 |
示例请求:
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-packages/openssl/3.0.2-0ubuntu1.20/scan-reports
示例响应:
{
"name": "openssl",
"version": "3.0.2-0ubuntu1.20",
"active_cves": [
{"id": "CVE-2025-15467"},
{"id": "CVE-2025-68160"}
],
"report_time": "2026-02-20T16:14:09.253455099Z"
}
响应字段:
| 领域 | 类型 | 说明 |
|---|---|---|
name |
字符串 | 包名称 |
version |
字符串 | 软件包版本 |
active_cves |
CVE[] | 已有修复措施的活跃 CVE |
report_time |
字符串 (ISO 8601) | 报表生成时间戳 |
获取 VHD OS 包 CVE 缓解报告
以下端点用于获取特定 OS 包的 CVE 缓解报告,并显示哪些 CVE 出现于哪些包版本和 VHD 版本中,以及它们在哪些版本中已得到缓解:
GET /api/v1/vhd-packages/{name}/mitigation-reports
路径参数:
| 参数 | 类型 | 说明 | 示例 |
|---|---|---|---|
name |
字符串 | OS 包名称(小写) | openssl |
示例请求:
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-packages/openssl/mitigation-reports
示例响应(缩写):
{
"package_name": "openssl",
"mitigations": [
{
"cve": {"id": "CVE-2025-15467"},
"seen_in_component_versions": ["3.3.3-2.azl3", "3.3.3-3.azl3"],
"seen_in_aks_release_versions": [],
"seen_in_aks_k8s_release_versions": [],
"seen_in_vhd_release_versions": ["AKSAzureLinuxV3-gen1/202507.02.0"],
"mitigated_in_component_versions": [],
"mitigated_in_aks_release_versions": [],
"mitigated_in_aks_k8s_release_versions": [],
"mitigated_in_vhd_release_versions": []
}
]
}
响应字段:
| 领域 | 类型 | 说明 |
|---|---|---|
package_name |
字符串 | OS 包名称 |
mitigations |
CVEMitigation[] | 该软件包的 CVE 缓解措施条目 |
数据模型
以下部分介绍 AKS 漏洞数据 API 返回的数据模型,包括 CVE 条目的结构、容器映像引用、AKS 发布组件、VHD OS 包及其之间的关系。
CVE
CVE 数据模型是常见漏洞和暴露标识符。
| 领域 | 类型 | 说明 |
|---|---|---|
id |
字符串 | CVE 标识符(例如,"CVE-2024-13176") "GHSA-2464-8j7c-4cjm" |
ContainerImages
ContainerImages 数据模型表示一组容器映像引用,包括可读标记和内容可寻址摘要。
| 领域 | 类型 | 说明 |
|---|---|---|
image_repo_tags |
string[] | 图像标记(例如, "mcr.microsoft.com/oss/kubernetes/coredns:v1.9.4-9") |
image_repo_digests |
string[] | 所有支持平台的镜像摘要(例如,"mcr.microsoft.com/oss/kubernetes/coredns:v1.9.4-9@sha256:abc...") |
注释
摘要包含来自多体系结构清单的所有 Linux 平台变体(amd64,arm64)。 这使得无论您的节点拉取了哪个平台的特定摘要,都能匹配相应的 CVE 数据。
AKSReleaseContainerTarget
AKSReleaseContainerTarget 数据模型表示特定 AKS 发布版本中的容器组件,该组件通过其运行所在的 Pod 命名空间和容器名称进行标识,以及其使用的容器映像和受其影响的 CVE。
| 领域 | 类型 | 说明 |
|---|---|---|
pod_namespace |
字符串 | Kubernetes 命名空间(例如,"kube-system") "calico-system" |
container_name |
字符串 | 容器名称(例如,"coredns") "calico-node" |
active_container_images |
ContainerImages | 当前为此组件运行的容器镜像 |
active_cves |
CVE[] | 当前影响此组件且有可用修复方案的 CVE |
removed_container_images_from_previous_release |
ContainerImages | 上一个版本中存在但当前已不再运行的映像 |
mitigated_cves_from_previous_release |
CVE[] | 上一版本中存在但已在此版本中修复的 CVE |
AKSK8SContainerTarget
AKSK8SContainerTarget 数据模型表示与特定 Kubernetes 版本关联的容器映像,包括该映像的带标记的映像引用、摘要以及影响该映像的 CVE。
| 领域 | 类型 | 说明 |
|---|---|---|
container_image |
字符串 | 不带标记的图像名称(例如 "mcr.microsoft.com/oss/kubernetes/kube-apiserver") |
active_container_images |
ContainerImages | 带标签的镜像引用和摘要 |
active_cves |
CVE[] | 已有修复措施的活跃 CVE |
AKSVHDContainerTarget
AKSVHDContainerTarget 数据模型表示包含在 VHD 节点镜像中的容器镜像,以及相关的带标签镜像引用、摘要和影响该镜像的 CVE。
| 领域 | 类型 | 说明 |
|---|---|---|
container_image |
字符串 | 不带标记的图像名称 |
active_container_images |
ContainerImages | 带标签的镜像引用和摘要 |
active_cves |
CVE[] | 已有修复措施的活跃 CVE |
removed_container_images_from_previous_release |
ContainerImages | 自上一 VHD 版本发布以来已删除的映像 |
mitigated_cves_from_previous_release |
CVE[] | 自上次 VHD 发布以来已修复的 CVE |
AKSVHDOSPackageTarget
AKSVHDOSPackageTarget 数据模型表示在 VHD 节点映像中安装的 OS 级包,以及安装的版本、影响它的 CVE 以及之前 VHD 版本所做的任何更改。
| 领域 | 类型 | 说明 |
|---|---|---|
name |
字符串 | 包名称 (例如, "kernel", "containerd""systemd") |
version |
字符串 | 包版本(例如, "6.1.109.2-1.cm2") |
active_cves |
CVE[] | 已有修复措施的活跃 CVE |
previous_version |
字符串 | 上一 VHD 版本中的版本(如果未更改,则为空) |
mitigated_cves_from_previous_release |
CVE[] | 自上次 VHD 发布以来已修复的 CVE |
CVEScanner
CVEScanner 数据模型表示漏洞扫描程序的元数据,该扫描程序为容器映像生成 CVE 扫描结果。
| 领域 | 类型 | 说明 |
|---|---|---|
name |
字符串 | 扫描程序名称(例如, "trivy") |
version |
字符串 | 扫描程序版本 (例如, "0.69.1") |
CVEList
CVEList 数据模型表示由给定容器映像的特定漏洞扫描程序检测到的一组 CVE。 每个条目将扫描程序元数据与检测到的 CVE 列表相关联。
| 领域 | 类型 | 说明 |
|---|---|---|
scanner |
CVEScanner | 生成这些结果的扫描程序 |
cves |
CVE[] | 此扫描程序检测到的 CVE |
CVEMitigation
CVEMitigation 数据模型用于跨不同组件版本和发布类型跟踪单个 CVE,并显示其发现于何处以及于何处得到缓解。
| 领域 | 类型 | 说明 |
|---|---|---|
cve |
CVE | 正在跟踪的 CVE |
seen_in_component_versions |
string[] | 检测到该 CVE 的组件版本(镜像标签或软件包版本) |
seen_in_aks_release_versions |
string[] | 检测到该 CVE 的 AKS 发布版本 |
seen_in_aks_k8s_release_versions |
string[] | 检测到存在此 CVE 的 Kubernetes 发布版本 |
seen_in_vhd_release_versions |
string[] | 检测到此 CVE 的 VHD 发布版本 |
mitigated_in_component_versions |
string[] | 修复了此 CVE 的组件版本 |
mitigated_in_aks_release_versions |
string[] | 已修复此 CVE 的 AKS 发布版本 |
mitigated_in_aks_k8s_release_versions |
string[] | 已修复此 CVE 的 Kubernetes 发布版本 |
mitigated_in_vhd_release_versions |
string[] | 已修复此 CVE 的 VHD 发布版本 |
Delta 追踪
AKS 发布和 VHD 发布报告包含 Delta 字段,用于比较当前版本与上一版本:
-
mitigated_cves_from_previous_release:上一版本中存在的但不再检测到的 CVE。 这意味着漏洞已修复(例如,通过升级组件版本)。 -
removed_container_images_from_previous_release:在上一版本中运行的容器映像,但在当前版本中不存在。
注释
Kubernetes 版本报告中 不包含 增量字段。
多架构摘要
每个容器映像可能包含涵盖不同 CPU 体系结构(amd64、arm64)的多个摘要引用。 该 API 包括多体系结构清单 中的所有 Linux 平台摘要 ,因此,无论节点提取的具体平台摘要如何,都可以匹配 CVE 数据。
报表版本格式
AKS 漏洞数据 API 报告根据所报告的发布类型使用不同的版本控制方案。 下表总结了用于 AKS 版本、Kubernetes 版本和 VHD 版本的格式:
| 发布类型 | Format | 示例 |
|---|---|---|
| AKS 版本 | v{YYYYMMDD} |
v20260104 |
| Kubernetes 版本 | Semver | 1.33.2 |
| VHD 发行版 | {distro}/{YYYYMM.DD.patch} |
AKSAzureLinux-gen2/202512.06.0 |
相关内容
有关 AKS 漏洞数据 API 的详细信息,请参阅 vulnerability Data API for Azure Kubernetes 服务 (AKS) 概述。