Réponse aux vulnérabilités pour conteneurs

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 11 minutes de lecture

    • L’application ServiceNow® Réponse aux vulnérabilités pour conteneurs importe les éléments vulnérables des conteneurs (CVIT) et, selon les règles, vous permet de corriger les vulnérabilités des conteneurs. Les données de vulnérabilité proviennent de sources internes et externes, telles que la base de données de vulnérabilité nationale (NVD) ou d’intégrations tierces.

    Demander des applications dans l'App Store

    Visitez le ServiceNow Store pour afficher toutes les applications disponibles et pour obtenir des informations sur la soumission de demandes à la boutique. Pour obtenir des informations sur les notes de publication cumulatives pour toutes les applications publiées, consultez les ServiceNow Store notes de publication relatives à l'historique des versions.

    Avantages

    L’application Réponse aux vulnérabilités pour conteneurs fournit les avantages suivants :
    • S’intègre aux produits de sécurité de conteneurs tiers, tels que Prisma Cloud Compute de Palo Alto Networks.
    • Importe les données de vulnérabilité pour les images déployées dans le délai d’exécution et enrichit les données de vulnérabilité avec des informations contextuelles d’exécution (hôtes, grappes Kubernetes, services et espaces de noms).
    • Fournit une liste des références créées à partir des vulnérabilités vers les entités Kubernetes pertinentes à l’aide Base de données de gestion des configurations (CMDB)ServiceNow de Kubernetes Discovery.
    • Offre un tableau de bord de génération de rapports complet, fournissant un aperçu des tendances en matière de vulnérabilité et de remédiation.

    Fonctionnalités principales

    L’application Réponse aux vulnérabilités pour conteneurs gère les vulnérabilités détectées dans les conteneurs. Il fournit les fonctionnalités suivantes :
    • Pointez vers la source Image Docker à partir de CVIT au lieu de conteneurs en cours d’exécution.
    • Configurez la granularité des CVIT pour effectuer un suivi au niveau de l’image, de la grappe Kubernetes, de l’espace de noms ou du service.
    • Suivez les nouvelles versions d’images pour identifier les vulnérabilités corrigées. Toutes les vulnérabilités signalées dans les anciennes versions sont automatiquement résolues lorsque ServiceNow de nouvelles versions d’image sont déployées au moment de l’exécution.
    • Suivez les CVIT dans les images de base séparément des images d’application pour permettre un rattrapage indépendant.
    • Émettez des demandes d’exception ou des demandes de faux positifs, qui peuvent être examinées via un processus d’approbateur à plusieurs niveaux.
    • Définissez des règles d’exception pour différer automatiquement les CVIT.

    Cas d'utilisation

    Les conteneurs sont un excellent moyen de déployer et de mettre à l’échelle des applications sur plusieurs environnements avec moins de frais généraux et une portabilité accrue. Cependant, les vulnérabilités des images de conteneurs peuvent présenter un risque pour l’hôte sous-jacent et, en fin de compte, pour l’infrastructure où les conteneurs ont été lancés à partir de ces images. Bien qu’il existe de nombreux produits de sécurité des conteneurs qui analysent les images des conteneurs pour détecter les vulnérabilités, il existe quelques considérations et problèmes associés à la correction des vulnérabilités. Réponse aux vulnérabilités pour conteneurs Peut aider à résoudre divers problèmes ou cas d’utilisation impliqués dans la correction des vulnérabilités d’image de conteneur. Découvrez comment tirer parti du Réponse aux vulnérabilités pour conteneurs module :
    Contexte d'exécution
    Les vulnérabilités des images de conteneurs peuvent être découvertes en analysant l’image aux étapes suivantes du cycle de vie de l’application.
    • Étape 1 : Lorsque les images sont en cours de construction dans le pipeline CI/CD.
    • Étape 2 : lorsque les images sont publiées dans le registre
    • Étape 3 : lorsque les images sont déployées pour l’exécution.
    S’il est important d’identifier les vulnérabilités le plus tôt possible aux étapes 1 et 2, il est tout aussi important d’effectuer une analyse des images déployées dans un environnement d’exécution. Il offre les avantages suivants :
    • identifiant les nouvelles vulnérabilités et expositions courantes (CVE) publiées ;
    • Fournir une visibilité précise de la situation vis-à-vis du risque des applications déployées.
    • Hiérarchisation des vulnérabilités qui doivent être résolues. Le contexte d’exécution en termes de services d’application ou de services d’entreprise affectés en raison d’une vulnérabilité peut aider à hiérarchiser les priorités.

    Réponse aux vulnérabilités pour conteneurs s’intègre aux produits de sécurité des conteneurs tels que Prisma Cloud Compute pour extraire les données de vulnérabilité des images déployées dans l’exécution et enrichit les données de vulnérabilité avec des informations contextuelles d’exécution telles que les hôtes, les grappes Kubernetes, les services et les espaces de Palo Alto Networks noms où ces images de conteneur sont déployées. Les clients qui utilisent la ServiceNow découverte Kubernetes peuvent voir les références créées à partir des vulnérabilités vers les entités Kubernetes pertinentes dans leur Base de données de gestion des configurations (CMDB). En plus d’enrichir les métadonnées, ServiceNow propose également un tableau de bord de reporting complet pour fournir des informations sur les tendances en matière de vulnérabilité et de remédiation.Contexte d’exécution

    Identifier la propriété
    Prérequis

    • Métadonnées et références Kubernetes : Réponse aux vulnérabilités pour conteneurs pour renseigner les métadonnées Kubernetes (espace de noms, grappe, entre autres) et les références aux Base de données de gestion des configurations (CMDB) entrées, vous devez implémenter la détection Kubernetes à partir de Information Technology Operations Management (ITOM). La découverte Kubernetes remplit l’image Docker, les conteneurs Docker en cours d’exécution, les pods, les grappes Kubernetes, etc., dans le . Réponse aux vulnérabilités pour conteneurs identifie l’image Docker en CMDB fonction de CMDB l’ID de l’image, puis identifie les entités Kubernetes connexes et remplit les références à ces entités à partir des éléments vulnérables.

    • Métadonnées dans le cloud et étiquettes d’image Docker : Réponse aux vulnérabilités pour conteneurs renseigne également les étiquettes d’image Docker, les ID de compte dans le cloud, les régions où une image est déployée. Ces données sont conservées dans l’enregistrement « Image du conteneur détecté » associé à l’élément vulnérable. Il n’existe aucune condition préalable pour que ces données soient renseignées. Réponse aux vulnérabilités pour conteneurs utilise les données renvoyées par les produits de sécurité des conteneurs (par exemple, Palo Alto Prisma Cloud Compute) pour remplir ces entrées.

    La propriété de la correction d’une vulnérabilité dans une image de conteneur peut varier d’une organisation à l’autre. Ces informations peuvent être capturées à différents endroits. Certaines organisations utilisent des étiquettes d’image Docker comme moyen d’identifier les équipes d’application qui possèdent une certaine image de conteneur, tandis que d’autres organisations peuvent utiliser l’espace de noms Kubernetes ou le compte cloud où une image de conteneur est déployée pour identifier le bon propriétaire.

    Réponse aux vulnérabilités pour conteneurs fournit les éléments de modèle de données nécessaires pour pouvoir capturer et utiliser les étiquettes d’image Docker, les métadonnées de grappe/service/espace de noms Kubernetes ou les métadonnées du compte dans le cloud (ID de compte dans le cloud, région, fournisseur, entre autres) dans le module « Règles d’affectation » et affecter automatiquement les vulnérabilités à la bonne équipe d’application en fonction des métadonnées de l’image ou de l’environnement d’exécution.

    Identification de la propriété

    Suivre les vulnérabilités dans les images de base
    Prérequis

    Pour que la propriété « Image de base » soit renseignée dans Réponse aux vulnérabilités pour conteneurs, les images de base doivent être configurées explicitement dans la Vulnerability Response Integration with Palo Alto Networks Prisma Cloud Compute console. Pour plus d’informations sur la configuration des images de base dans Prisma Cloud, consultez https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin - compute/vulnerability_management/base_images.

    Réponse aux vulnérabilités pour conteneurs Permet de créer des enregistrements de vulnérabilité distincts pour une couche de base afin qu’ils puissent être affectés à une autre équipe.

    Suivez les vulnérabilités identifiées dans une image de système d’exploitation de base telle qu’Alpine à partir des vulnérabilités détectées dans d’autres couches de l’image du conteneur. De nombreuses organisations disposent d’équipes dédiées chargées d’appliquer des correctifs aux images du système d’exploitation de base et de les mettre à la disposition de toutes les équipes d’application. Image de base

    Définir la granularité pour les éléments vulnérables
    Prérequis

    Configurez la granularité des CVIT en accédant à Tous > Réponse aux vulnérabilités des conteneurs > Administration > Configurer la granularité VI.

    Granularité VI

    Par défaut, un élément vulnérable est créé pour chaque combinaison unique de CVE et de la version de l’image Docker (référence + balise). Cependant, quelques images Docker peuvent être déployées dans plusieurs espaces de noms Kubernetes et chaque espace de noms peut être détenu par différentes unités ou équipes commerciales. Chaque équipe peut suivre sa propre cadence pour déployer de nouvelles versions d’images de conteneurs afin de corriger les vulnérabilités. Pour prendre en charge ce scénario, Réponse aux vulnérabilités pour conteneurs vous permet de définir la granularité des éléments vulnérables : si un élément vulnérable doit être créé pour chaque espace de noms/grappe/service Kubernetes, même pour chaque combinaison unique de version de l’image Docker et de vulnérabilité.

    Granularité VI

    Dans l’exemple, vous pouvez voir deux éléments vulnérables créés pour la même combinaison d’image Docker et de CVE. L’un pour l’espace de noms Kubernetes 'k8s-finservco-loans' et l’autre pour 'k8s-finservco-wealthandinsurance'.

    Identifier les services concernés à l’aide de l’identification des services basée sur les balises
    Prérequis
    • Identifiez différents services dans votre application et définissez les balises/paires clé-valeur qui représentent ces services.
    • Déployez des images Docker et des pods Kubernetes avec ces balises ou étiquettes.
    • Déployer ITOM Découverte Kubernetes Définissez les « services basés sur les balises » avec les balises ou étiquettes appropriées.
    • Déployer Découverte Kubernetes ITOM
    • Définissez les « Services basés sur les balises » avec les balises ou les paires clé-valeur appropriées.
    • Importer des données de vulnérabilité dans l’utilisation ServiceNow de Réponse aux vulnérabilités pour conteneurs

    Le calcul du risque pour les éléments vulnérables peut être effectué en examinant le CI (image de Docker) et la criticité des services associés dans CMDB. Toutefois, pour faciliter l’identification des services impactés, Réponse aux vulnérabilités pour conteneurs propose une identification des services basée sur les balises.

    Lorsque des pods ou des entités Kubernetes sont publiés avec des clé-valeurs ou des étiquettes correspondant aux clé-valeurs définies dans un « service basé sur les balises » dans ServiceNowRéponse aux vulnérabilités pour conteneurs , établit automatiquement la relation entre une image Docker et le service d’application impacté, et utilise la criticité de ce service d’application dans le calcul du risque.

    Le flux est le suivant :
    1. Réponse aux vulnérabilités pour conteneurs Importe les données de vulnérabilité à partir du produit de sécurité du conteneur.
    2. Pour chaque élément vulnérable de conteneur, Réponse aux vulnérabilités pour conteneurs remplit l’image Docker à partir de CMDB laquelle présente la vulnérabilité.
    3. Réponse aux vulnérabilités pour conteneurs examine ensuite les étiquettes d’image Docker, ou les étiquettes/clé-valeurs publiées avec les pods Kubernetes où cette image est déployée. Cette image est disponible dans CMDB si la découverte Kubernetes est en cours d’exécution.
    4. Réponse aux vulnérabilités pour conteneurs recherche ensuite « Services basés sur les balises » avec CMDB les mêmes paires clé-valeur correspondantes définies.Calcul du risque

      Calcul du risque

    5. Réponse aux vulnérabilités pour conteneurs utilise la « criticité opérationnelle » du « service basé sur les balises » correspondant (le cas échéant) pour calculer le risque d’un élément vulnérable de conteneur.

      Calcul du risque

      Calcul du risque
    Suivi des vulnérabilités
    Définition des cibles de rattrapage

    ServiceNow permet aux gestionnaires de vulnérabilité de définir des « Règles de cibles de remédiation » pour pouvoir définir des accords sur les niveaux de service (SLA) pour corriger les vulnérabilités trouvées dans les images de conteneur. La date cible de rattrapage peut être définie en fonction d’une condition/d’un critère sur les métadonnées d’image ou les informations de vulnérabilité. Les responsables de la remédiation reçoivent une communication par e-mail sur les vulnérabilités qui approchent de la date d’échéance.Définir une cible de rattrapage

    Identification des vulnérabilités corrigées

    Contrairement aux vulnérabilités d’hôte qui peuvent être corrigées en appliquant un correctif sur un hôte, les vulnérabilités des conteneurs ne peuvent pas être corrigées. De nouvelles versions d’images de conteneur doivent être créées et déployées pour remplacer les anciennes versions. Les nouvelles versions ont un identifiant différent (ID d’image) par rapport aux versions précédentes, ce qui rend difficile le suivi des vulnérabilités qui ont déjà été corrigées.

    ServiceNow Identifie les vulnérabilités qui ont été signalées dans les versions précédentes des images de conteneur mais qui ont été résolues dans la dernière version de l’image et fait automatiquement passer ces vulnérabilités à l’état « Fermé/Corrigé » afin que les équipes de sécurité aient toujours une visibilité précise sur la dernière posture de risque.

    Gérer les exceptions

    Les équipes d’application ou les responsables de la remédiation des vulnérabilités peuvent avoir besoin de demander une exception pour les raisons suivantes.

    • Un contrôle d’atténuation est déjà en place
    • Risque accepté
    • En attente d’une fenêtre de maintenance pour pousser la correction.

    ServiceNow Permet aux administrateurs de sécurité de définir plusieurs niveaux d’approbateurs pour les demandes d’exception. Vous pouvez également définir des règles d’exception automatique qui peuvent être utilisées pour différer automatiquement les vulnérabilités correspondant à une condition donnée.Exceptions

    Exceptions

    Nouveautés

    Pour en savoir plus sur les nouveautés et les changements de , Australie consultez les notes de Australie version.

    Premiers pas

    • Pour obtenir une vue d’ensemble de Opérations de sécurité dans votre ServiceNow AI Platform instance, consultez Présentation des opérations de sécurité.
    • Pour en savoir plus sur toutes les Opérations de sécurité applications pouvant être téléchargées à partir du , consultez Opérations deServiceNow Store sécurité et ServiceNow Store.