Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Interfejs API danych o lukach w zabezpieczeniach usługi AKS zapewnia programistyczny wgląd tylko do odczytu w luki w zabezpieczeniach wykryte w składnikach platformy zarządzanych przez AKS. Ten interfejs API jest przeznaczony dla zespołów ds. zabezpieczeń, zespołów zgodności i właścicieli platformy , którzy potrzebują autorytatywnych informacji o lukach w zabezpieczeniach wpływających na artefakty zarządzane przez usługę AKS niezależnie od konkretnego stanu środowiska uruchomieniowego klastra.
W tym artykule dowiesz się, jak używać interfejsu API danych o lukach w zabezpieczeniach AKS do programowego pobierania raportów CVE dotyczących artefaktów zarządzanych przez usługę AKS, w tym wydań AKS, wersji Kubernetes, obrazów węzłów, obrazów kontenerów i pakietów systemu operacyjnego. Zawiera przykłady żądań API i pokazuje, jak interpretować odpowiedzi, aby wspierać analizę CVE na dużą skalę, automatyzację oraz korelację z wynikami skanera bezpieczeństwa. Aby uzyskać omówienie pojęć związanych z interfejsem API, zobacz Vulnerability Data API for Azure Kubernetes Service (AKS) overview.
Wykonywanie zapytań dotyczących raportów CVE
Poniższe przykłady pokazują, jak wysyłać zapytania do interfejsu API danych o lukach w zabezpieczeniach usługi AKS, aby pobrać raporty CVE dotyczące wersji usługi AKS, wersji platformy Kubernetes, obrazów węzłów, obrazów kontenerów i pakietów systemu operacyjnego.
Wyszukiwanie luk CVE dla wersji AKS
# 1. List available AKS releases
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-releases/_index | jq '.aks_release_versions'
# 2. Get CVE report for a specific release
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-releases/v20260104/scan-reports | jq '.'
Wyszukiwanie identyfikatorów CVE dla wersji Kubernetes
# 1. List available Kubernetes versions
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-k8s-releases/_index | jq '.k8s_versions'
# 2. Get CVE report for a specific Kubernetes version
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-k8s-releases/1.32.9/scan-reports | jq '.'
Wykonywanie zapytań dotyczących cve dla obrazu węzła (VHD)
# 1. List available VHD releases
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-releases/_index | jq '.vhd_release_versions'
# 2. Get CVE report for a specific VHD
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-releases/AKSUbuntu-gen2-2204containerd/202601.13.0/scan-reports | jq '.'
Wykonywanie zapytań dotyczących cves dla określonego obrazu kontenera
# Get CVE scan report for a specific tagged container image
curl -s https://cve-api.prod-aks.azure.com/api/v1/container-images/mcr.microsoft.com/oss/kubernetes/kube-proxy:v1.31.11/scan-reports | jq '.'
# Get CVE mitigation history for a container image repository
curl -s https://cve-api.prod-aks.azure.com/api/v1/container-images/mcr.microsoft.com/oss/kubernetes/kube-proxy/mitigation-reports | jq '.'
Wyszukiwanie identyfikatorów CVE dla określonego pakietu systemowego
# Get CVE scan report for a specific OS package version
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-packages/openssl/3.0.2-0ubuntu1.20/scan-reports | jq '.'
# Get CVE mitigation history for an OS package
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-packages/openssl/mitigation-reports | jq '.'
Punkty końcowe
Interfejs API danych o lukach w zabezpieczeniach usługi AKS udostępnia punkty końcowe do pobierania raportów CVE dla wydań usługi AKS, wersji platformy Kubernetes, obrazów węzłów, obrazów kontenerów i pakietów systemu operacyjnego. Każdy punkt końcowy zapewnia dostęp do indeksu dostępnych wersji lub szczegółowego raportu skanowania dla określonej wersji lub artefaktu. W poniższych sekcjach opisano każdy punkt końcowy, dostępne operacje oraz oczekiwane formaty żądań i odpowiedzi.
Wydania AKS
Pobierz indeks wersji AKS
Następujący punkt końcowy zwraca indeks wszystkich wersji wersji usługi AKS z dostępnymi raportami CVE:
GET /api/v1/aks-releases/_index
Przykładowe żądanie:
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-releases/_index
Przykładowa odpowiedź:
{
"aks_release_versions": [
"v20250427",
"v20250519",
"v20250617",
"v20250720",
"v20250808",
"v20250829",
"v20250921",
"v20251012",
"v20260104"
],
"report_time": "2026-01-27T16:19:36.181877605Z"
}
Pola odpowiedzi:
| Pole | Typ | Description |
|---|---|---|
aks_release_versions |
string[] | Dostępne wersje wydań AKS, posortowane chronologicznie |
report_time |
string (ISO 8601) | Kiedy ten indeks został ostatnio wygenerowany |
Pobierz raport CVE dla wydania AKS
Następujący punkt końcowy zwraca szczegółowy raport CVE dla określonej wersji wydania AKS, zawierający wszystkie obrazy kontenerów w systemowych przestrzeniach nazw, ich aktywne CVE oraz różnicę w CVE względem poprzedniego wydania:
GET /api/v1/aks-releases/{version}/scan-reports
Parametry ścieżki:
| Parametr | Typ | Description | Przykład |
|---|---|---|---|
version |
ciąg | Wersja wydania usługi AKS z indeksu | v20260104 |
Przykładowe żądanie:
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-releases/v20260104/scan-reports
Przykładowa odpowiedź (skrócona):
{
"aks_release_version": "v20260104",
"previous_aks_release_version": "v20251012",
"container_targets": [
{
"pod_namespace": "kube-system",
"container_name": "coredns",
"active_container_images": {
"image_repo_tags": [
"mcr.microsoft.com/oss/v2/kubernetes/coredns:v1.9.4-9"
],
"image_repo_digests": [
"mcr.microsoft.com/oss/v2/kubernetes/coredns:v1.9.4-9@sha256:718de5d12a..."
]
},
"active_cves": [
{"id": "CVE-2025-47914"},
{"id": "CVE-2025-58181"},
{"id": "CVE-2025-61727"},
{"id": "CVE-2025-61729"}
],
"removed_container_images_from_previous_release": {
"image_repo_tags": [],
"image_repo_digests": []
},
"mitigated_cves_from_previous_release": []
},
{
"pod_namespace": "gatekeeper-system",
"container_name": "azure-policy-audit",
"active_container_images": {
"image_repo_tags": [
"mcr.microsoft.com/azure-policy/policy-kubernetes-audit:1.15.3"
],
"image_repo_digests": [
"mcr.microsoft.com/azure-policy/policy-kubernetes-audit:1.15.3@sha256:67745758..."
]
},
"active_cves": [
{"id": "CVE-2025-61727"},
{"id": "CVE-2025-61729"}
],
"removed_container_images_from_previous_release": {
"image_repo_tags": [
"mcr.microsoft.com/azure-policy/policy-kubernetes-audit:1.14.2"
],
"image_repo_digests": [
"mcr.microsoft.com/azure-policy/policy-kubernetes-audit:1.14.2@sha256:33218f96..."
]
},
"mitigated_cves_from_previous_release": [
{"id": "CVE-2025-47912"},
{"id": "CVE-2025-47914"},
{"id": "CVE-2025-58181"}
]
}
],
"report_time": "2026-01-27T16:19:36.181877605Z"
}
Pola odpowiedzi:
| Pole | Typ | Description |
|---|---|---|
aks_release_version |
ciąg | Bieżąca wersja usługi AKS |
previous_aks_release_version |
ciąg | Poprzednia wersja (używana do obliczeń delty) |
container_targets |
AKSReleaseContainerTarget[] | Wszystkie składniki kontenera w tej wersji |
report_time |
string (ISO 8601) | Sygnatura czasowa generowania raportu |
Wydania wersji Kubernetes
Pobieranie indeksu wersji platformy Kubernetes
Następujący punkt końcowy zwraca indeks wszystkich wersji platformy Kubernetes z dostępnymi raportami CVE:
GET /api/v1/aks-k8s-releases/_index
Przykładowe żądanie:
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-k8s-releases/_index
Przykładowa odpowiedź:
{
"k8s_versions": [
"1.27.102",
"1.27.103",
"1.28.100",
"1.29.14",
"1.30.0",
"1.30.14",
"1.31.1",
"1.32.0",
"1.32.10",
"1.33.0",
"1.33.6",
"1.34.0",
"1.34.2"
],
"report_time": "2026-01-27T16:14:37.928201259Z"
}
Pola odpowiedzi:
| Pole | Typ | Description |
|---|---|---|
k8s_versions |
string[] | Dostępne wersje platformy Kubernetes posortowane według semver |
report_time |
string (ISO 8601) | Kiedy ten indeks został ostatnio wygenerowany |
Pobieranie raportu CVE wersji platformy Kubernetes
Poniższy punkt końcowy zwraca raport CVE dla określonej wersji platformy Kubernetes, zawierający szczegółowe informacje o lukach w zabezpieczeniach obrazów kontenerów wykorzystywanych przez podstawowe składniki platformy Kubernetes oraz dodatki AKS dla tej wersji:
GET /api/v1/aks-k8s-releases/{version}/scan-reports
Parametry ścieżki:
| Parametr | Typ | Description | Przykład |
|---|---|---|---|
version |
ciąg | Wersja rozwiązania Kubernetes z indeksu | 1.33.2 |
Przykładowe żądanie:
curl -s https://cve-api.prod-aks.azure.com/api/v1/aks-k8s-releases/1.33.2/scan-reports
Przykładowa odpowiedź (skrócona):
{
"k8s_version": "1.33.2",
"container_targets": [
{
"container_image": "mcr.microsoft.com/oss/kubernetes/kube-apiserver",
"active_container_images": {
"image_repo_tags": [
"mcr.microsoft.com/oss/kubernetes/kube-apiserver:v1.33.2"
],
"image_repo_digests": [
"mcr.microsoft.com/oss/kubernetes/kube-apiserver:v1.33.2@sha256:abc123..."
]
},
"active_cves": [
{"id": "CVE-2025-47912"},
{"id": "CVE-2025-58181"}
]
},
{
"container_image": "mcr.microsoft.com/aks/aks-app-routing-operator",
"active_container_images": {
"image_repo_tags": [
"mcr.microsoft.com/aks/aks-app-routing-operator:0.0.3"
],
"image_repo_digests": [
"mcr.microsoft.com/aks/aks-app-routing-operator:0.0.3@sha256:c1ff16ca..."
]
},
"active_cves": [
{"id": "CVE-2023-39318"},
{"id": "CVE-2023-39319"},
{"id": "CVE-2023-39325"}
]
}
],
"report_time": "2026-01-27T16:14:37.928201259Z"
}
Pola odpowiedzi:
| Pole | Typ | Description |
|---|---|---|
k8s_version |
ciąg | Wersja platformy Kubernetes (na przykład "1.33.2") |
container_targets |
AKSK8SContainerTarget[] | Obrazy kontenerów dla tej wersji rozwiązania Kubernetess |
report_time |
string (ISO 8601) | Sygnatura czasowa generowania raportu |
Wydania VHD (obraz węzła)
Pobierz indeks wydań VHD
Poniższy punkt końcowy zwraca indeks wszystkich wydań VHD z dostępnymi raportami CVE:
GET /api/v1/vhd-releases/_index
Przykładowe żądanie:
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-releases/_index
Przykładowa odpowiedź (skrócona):
{
"vhd_release_versions": [
"AKSAzureLinux-gen1/202507.02.0",
"AKSAzureLinux-gen2/202512.06.0",
"AKSAzureLinux-gen2fips/202510.03.0",
"AKSAzureLinuxV3-gen2/202511.20.0",
"AKSCBLMarinerV2-gen2/202508.20.0",
"AKSUbuntu-gen1-2204containerd/202601.13.0",
"AKSUbuntu-gen2-2404containerd/202601.13.0"
],
"report_time": "2026-01-27T16:21:23.056129543Z"
}
Pola odpowiedzi:
| Pole | Typ | Description |
|---|---|---|
vhd_release_versions |
string[] | Dostępne wydania VHD w formacie {distro}/{version} |
report_time |
string (ISO 8601) | Kiedy ten indeks został ostatnio wygenerowany |
Dostępne dystrybucje:
| Prefiks dystrybucji | Description |
|---|---|
AKSAzureLinux-gen1 |
Azure Linux V2, generacja 1 |
AKSAzureLinux-gen2 |
Azure Linux V2, generacja 2 |
AKSAzureLinux-gen1fips |
Azure Linux V2, Gen 1, z obsługą protokołu FIPS |
AKSAzureLinux-gen2fips |
Azure Linux V2, Gen 2, z obsługą protokołu FIPS |
AKSAzureLinux-gen2kata |
Azure Linux V2, Gen 2, kontenery Kata |
AKSAzureLinux-gen2tl |
Azure Linux V2, Gen 2, wariant TL |
AKSAzureLinuxV3-gen1 |
Azure Linux V3, generacja 1 |
AKSAzureLinuxV3-gen2 |
Azure Linux V3, generacja 2 |
AKSAzureLinuxV3-gen1fips |
Azure Linux V3, Gen 1, z obsługą protokołu FIPS |
AKSAzureLinuxV3-gen2fips |
Azure Linux V3, Gen 2, z obsługą protokołu FIPS |
AKSAzureLinuxV3-gen2tl |
Azure Linux V3, Gen 2, wariant TL |
AKSCBLMarinerV2-gen1 |
CBL-Mariner v2, generacja 1 |
AKSCBLMarinerV2-gen2 |
CBL-Mariner v2, generacja 2 |
AKSCBLMarinerV2-gen1fips |
CBL-Mariner V2, Gen 1, z obsługą standardu FIPS |
AKSCBLMarinerV2-gen2fips |
CBL-Mariner V2, Gen 2, z włączoną obsługą standardu FIPS |
AKSCBLMarinerV2-gen2kata |
CBL-Mariner V2, Gen 2, Kata Containers |
AKSCBLMarinerV2-gen2tl |
CBL-Mariner V2, Gen 2, wariant TL |
AKSUbuntu-gen1-2004fipscontainerd |
Ubuntu 20.04, Gen 1, FIPS |
AKSUbuntu-gen1-2204containerd |
Ubuntu 22.04, generacja 1 |
AKSUbuntu-gen1-2404containerd |
Ubuntu 24.04, generacja 1 |
AKSUbuntu-gen2-2004cvmcontainerd |
Ubuntu 20.04, Gen 2, poufna maszyna wirtualna |
AKSUbuntu-gen2-2004fipscontainerd |
Ubuntu 20.04, Gen 2, FIPS |
AKSUbuntu-gen2-2204containerd |
Ubuntu 22.04, generacja 2 |
AKSUbuntu-gen2-2404containerd |
Ubuntu 24.04, generacja 2 |
AKSUbuntu-gen2-2204tlcontainerd |
Ubuntu 22.04, Gen 2, wariant TL |
AKSUbuntu-gen2-2404tlcontainerd |
Ubuntu 24.04, Gen 2, wariant TL |
Pobierz raport CVE dla wydania VHD
Poniższy punkt końcowy zwraca raport CVE dla określonego wydania VHD, w tym zarówno pakiety systemu operacyjnego, jak i obrazy kontenerów uwzględnione w tym wydaniu:
GET /api/v1/vhd-releases/{distro}/{version}/scan-reports
Parametry ścieżki:
| Parametr | Typ | Description | Przykład |
|---|---|---|---|
distro |
ciąg | Identyfikator dystrybucji systemu Linux | AKSUbuntu-gen2-2204containerd |
version |
ciąg | Wersja wydania VHD | 202601.13.0 |
Przykładowe żądanie:
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-releases/AKSUbuntu-gen2-2204containerd/202601.13.0/scan-reports
Przykładowa odpowiedź (skrócona):
{
"distro_name": "AKSUbuntu/gen2/2204containerd",
"vhd_release_version": "202601.13.0",
"previous_vhd_release_version": "202512.06.0",
"os_package_targets": [
{
"name": "libtasn1-6",
"version": "4.18.0-4ubuntu0.2",
"active_cves": [],
"previous_version": "4.18.0-4ubuntu0.1",
"mitigated_cves_from_previous_release": [
{"id": "CVE-2021-46848"},
{"id": "CVE-2025-13151"}
]
},
{
"name": "python3.10",
"version": "3.10.12-1~22.04.13",
"active_cves": [],
"previous_version": "3.10.12-1~22.04.12",
"mitigated_cves_from_previous_release": [
{"id": "CVE-2025-13836"}
]
}
],
"container_targets": [
{
"container_image": "mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-collector/images",
"active_container_images": {
"image_repo_tags": [
"mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-collector/images:6.24.1-main-11-14-2025-15146744-cfg"
],
"image_repo_digests": [
"mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-collector/images:6.24.1-main-11-14-2025-15146744-cfg@sha256:6ce08d12..."
]
},
"active_cves": [],
"removed_container_images_from_previous_release": {
"image_repo_tags": [
"mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-collector/images:6.24.0-main-10-20-2025-fe8f6d51-targetallocator"
],
"image_repo_digests": [
"mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-collector/images:6.24.0-main-10-20-2025-fe8f6d51-targetallocator@sha256:314e20ca..."
]
},
"mitigated_cves_from_previous_release": [
{"id": "CVE-2025-47914"},
{"id": "CVE-2025-4802"},
{"id": "CVE-2025-58181"},
{"id": "CVE-2025-61727"},
{"id": "CVE-2025-61729"}
]
}
],
"report_time": "2026-01-27T16:21:23.056129543Z"
}
Pola odpowiedzi:
| Pole | Typ | Description |
|---|---|---|
distro_name |
ciąg | Nazwa dystrybucji systemu Linux (na przykład "AKSAzureLinux/gen2") |
vhd_release_version |
ciąg | Aktualna wersja wydania VHD |
previous_vhd_release_version |
ciąg | Poprzednia wydana wersja VHD |
os_package_targets |
AKSVHDOSPackageTarget[] | Pakiety systemu operacyjnego w tym dysku VHD |
container_targets |
AKSVHDContainerTarget[] | Obrazy kontenerów dołączone do tego dysku VHD |
report_time |
string (ISO 8601) | Sygnatura czasowa generowania raportu |
Obrazy kontenerów
Punkty końcowe dla obrazów kontenerów udostępniają raporty skanowania pod kątem CVE dla poszczególnych obrazów oraz śledzenie działań ograniczających ryzyko w kolejnych wydaniach dla poszczególnych obrazów kontenerów. Te punkty końcowe nie mają _index listy; przechodzisz przez pełną ścieżkę obrazu.
Pobieranie raportu skanowania CVE obrazu kontenera
Następujący punkt końcowy pobiera raport skanowania CVE dla określonego obrazu kontenera zidentyfikowanego przez pełną ścieżkę obrazu i tag:
GET /api/v1/container-images/{image}:{tag}/scan-reports
Parametry ścieżki:
| Parametr | Typ | Description | Przykład |
|---|---|---|---|
image |
ciąg | Pełna nazwa obrazu, w tym rejestr | mcr.microsoft.com/oss/kubernetes/kube-proxy |
tag |
ciąg | Etykieta obrazu | v1.31.11 |
Przykładowe żądanie:
curl -s https://cve-api.prod-aks.azure.com/api/v1/container-images/mcr.microsoft.com/oss/kubernetes/kube-proxy:v1.31.11/scan-reports
Przykładowa odpowiedź (skrócona):
{
"image_repo_tags": [
"mcr.microsoft.com/oss/kubernetes/kube-proxy:v1.31.11"
],
"image_repo_digests": [
"mcr.microsoft.com/oss/kubernetes/kube-proxy:v1.31.11@sha256:abc123..."
],
"report_time": "2026-02-20T16:12:42.081442479Z",
"active_cves": [
{
"scanner": {
"name": "trivy",
"version": "0.69.1"
},
"cves": [
{"id": "CVE-2024-13176"},
{"id": "CVE-2025-47914"}
]
}
]
}
Pola odpowiedzi:
| Pole | Typ | Description |
|---|---|---|
image_repo_tags |
string[] | Tagi obrazów dla zeskanowanego obrazu |
image_repo_digests |
string[] | Skróty obrazów dla wszystkich obsługiwanych platform |
report_time |
string (ISO 8601) | Sygnatura czasowa generowania raportu |
active_cves |
CVEList[] | Aktywne CVEs pogrupowane według skanera |
Pobierz raport ograniczania ryzyka związanego z CVE obrazu kontenera
Następujący punkt końcowy pobiera raport ograniczania ryzyka CVE dla określonego repozytorium obrazów kontenera i pokazuje, które CVE były widoczne w których wersjach i wydaniach składników oraz w których wersjach i wydaniach zostały wyeliminowane:
GET /api/v1/container-images/{image}/mitigation-reports
Parametry ścieżki:
| Parametr | Typ | Description | Przykład |
|---|---|---|---|
image |
ciąg | Pełna nazwa obrazu łącznie z rejestrem (bez tagu) | mcr.microsoft.com/oss/kubernetes/kube-proxy |
Przykładowe żądanie:
curl -s https://cve-api.prod-aks.azure.com/api/v1/container-images/mcr.microsoft.com/oss/kubernetes/kube-proxy/mitigation-reports
Przykładowa odpowiedź (skrócona):
{
"container_image": "mcr.microsoft.com/oss/kubernetes/kube-proxy",
"mitigations": [
{
"cve": {"id": "CVE-2023-2253"},
"seen_in_component_versions": ["v1.27.102-akslts"],
"seen_in_aks_release_versions": [],
"seen_in_aks_k8s_release_versions": [],
"seen_in_vhd_release_versions": ["AKSAzureLinux-gen1/202507.02.0"],
"mitigated_in_component_versions": [],
"mitigated_in_aks_release_versions": [],
"mitigated_in_aks_k8s_release_versions": [],
"mitigated_in_vhd_release_versions": []
}
]
}
Pola odpowiedzi:
| Pole | Typ | Description |
|---|---|---|
container_image |
ciąg | Nazwa obrazu bez tagu |
mitigations |
CVEMitigation[] | Wpisy ograniczania ryzyka CVE dla tego obrazu |
Pakiety systemu operacyjnego VHD
Punkty końcowe pakietów systemu operacyjnego w VHD zapewniają raporty skanowania pod kątem luk CVE dla poszczególnych pakietów oraz śledzenie działań ograniczających ryzyko w kolejnych wydaniach dla poszczególnych pakietów systemu operacyjnego zainstalowanych w obrazach VHD węzłów. Te punkty końcowe nie mają _index listy; nawigujesz według nazwy pakietu.
Pobierz raport skanowania CVE dla pakietu VHD OS
Następujący punkt końcowy pobiera raport skanowania CVE dla określonej wersji pakietu systemu operacyjnego zainstalowanej na obrazach węzłów dysku VHD:
GET /api/v1/vhd-packages/{name}/{version}/scan-reports
Parametry ścieżki:
| Parametr | Typ | Description | Przykład |
|---|---|---|---|
name |
ciąg | Nazwa pakietu systemu operacyjnego (małe litery) | openssl |
version |
ciąg | Wersja pakietu | 3.0.2-0ubuntu1.20 |
Przykładowe żądanie:
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-packages/openssl/3.0.2-0ubuntu1.20/scan-reports
Przykładowa odpowiedź:
{
"name": "openssl",
"version": "3.0.2-0ubuntu1.20",
"active_cves": [
{"id": "CVE-2025-15467"},
{"id": "CVE-2025-68160"}
],
"report_time": "2026-02-20T16:14:09.253455099Z"
}
Pola odpowiedzi:
| Pole | Typ | Description |
|---|---|---|
name |
ciąg | Nazwa pakietu |
version |
ciąg | Wersja pakietu |
active_cves |
CVE[] | Aktywne CVE z dostępnymi poprawkami |
report_time |
string (ISO 8601) | Sygnatura czasowa generowania raportu |
Pobierz raport ograniczania ryzyka CVE dla pakietu VHD OS
Poniższy punkt końcowy pobiera raport działań zaradczych dotyczących luk CVE dla określonego pakietu systemu operacyjnego i pokazuje, które luki CVE występowały w poszczególnych wersjach pakietu i wydaniach VHD oraz w których wersjach zastosowano wobec nich działania zaradcze:
GET /api/v1/vhd-packages/{name}/mitigation-reports
Parametry ścieżki:
| Parametr | Typ | Description | Przykład |
|---|---|---|---|
name |
ciąg | Nazwa pakietu systemu operacyjnego (małe litery) | openssl |
Przykładowe żądanie:
curl -s https://cve-api.prod-aks.azure.com/api/v1/vhd-packages/openssl/mitigation-reports
Przykładowa odpowiedź (skrócona):
{
"package_name": "openssl",
"mitigations": [
{
"cve": {"id": "CVE-2025-15467"},
"seen_in_component_versions": ["3.3.3-2.azl3", "3.3.3-3.azl3"],
"seen_in_aks_release_versions": [],
"seen_in_aks_k8s_release_versions": [],
"seen_in_vhd_release_versions": ["AKSAzureLinuxV3-gen1/202507.02.0"],
"mitigated_in_component_versions": [],
"mitigated_in_aks_release_versions": [],
"mitigated_in_aks_k8s_release_versions": [],
"mitigated_in_vhd_release_versions": []
}
]
}
Pola odpowiedzi:
| Pole | Typ | Description |
|---|---|---|
package_name |
ciąg | Nazwa pakietu systemu operacyjnego |
mitigations |
CVEMitigation[] | Wpisy dotyczące łagodzenia skutków CVE dla tego pakietu |
Modele danych
W poniższych sekcjach opisano modele danych zwracane przez interfejs API danych o lukach w zabezpieczeniach usługi AKS, w tym strukturę wpisów CVE, odwołania do obrazów kontenerów, składniki wydania usługi AKS, pakiety systemu operacyjnego VHD oraz relacje między nimi.
CVE
Model danych CVE jest identyfikatorem typowych luk w zabezpieczeniach i ekspozycji.
| Pole | Typ | Description |
|---|---|---|
id |
ciąg | IDENTYFIKATOR CVE (na przykład "CVE-2024-13176", "GHSA-2464-8j7c-4cjm") |
ContainerImages
Model danych ContainerImages reprezentuje zestaw odwołań do obrazów kontenerów, w tym zarówno tagów czytelnych dla człowieka, jak i skrótów identyfikowanych zawartością.
| Pole | Typ | Description |
|---|---|---|
image_repo_tags |
string[] | Tagi obrazów (na przykład "mcr.microsoft.com/oss/kubernetes/coredns:v1.9.4-9") |
image_repo_digests |
string[] | Skróty obrazów dla wszystkich obsługiwanych platform (na przykład "mcr.microsoft.com/oss/kubernetes/coredns:v1.9.4-9@sha256:abc...") |
Note
Sumy kontrolne obejmują wszystkie warianty platformy Linux (amd64, arm64) z manifestów wieloarchitekturowych. Umożliwia to dopasowywanie danych CVE niezależnie od tego, które skróty specyficzne dla platformy zostały pobrane przez węzeł.
AKSReleaseContainerTarget
Model danych AKSReleaseContainerTarget reprezentuje składnik kontenerowy w ramach określonego wydania AKS, identyfikowany za pomocą przestrzeni nazw poda i nazwy kontenera, w którym działa, a także obrazów kontenerów, z których korzysta, oraz dotyczących go luk CVE.
| Pole | Typ | Description |
|---|---|---|
pod_namespace |
ciąg | Przestrzeń nazw kubernetes (na przykład "kube-system", "calico-system") |
container_name |
ciąg | Nazwa kontenera (na przykład "coredns", "calico-node") |
active_container_images |
ContainerImages | Obrazy kontenerów obecnie uruchomione dla tego komponentu |
active_cves |
CVE[] | CVE z dostępnymi poprawkami, które obecnie dotyczą tego komponentu |
removed_container_images_from_previous_release |
ContainerImages | Obrazy, które były obecne w poprzedniej wersji, ale nie są już uruchomione |
mitigated_cves_from_previous_release |
CVE[] | CvEs, które istniały w poprzedniej wersji, ale zostały naprawione w tej wersji |
AKSK8SContainerTarget
Model danych AKSK8SContainerTarget reprezentuje obraz kontenera skojarzony z określoną wersją platformy Kubernetes, w tym oznakowane odwołania do obrazów i skróty dla tego obrazu oraz wpływające na nie cvEs.
| Pole | Typ | Description |
|---|---|---|
container_image |
ciąg | Nazwa obrazu bez tagu (na przykład "mcr.microsoft.com/oss/kubernetes/kube-apiserver") |
active_container_images |
ContainerImages | Oznakowane odwołania do obrazów i skróty |
active_cves |
CVE[] | Aktywne CVE z dostępnymi poprawkami |
AKSVHDContainerTarget
Model danych AKSVHDContainerTarget reprezentuje obraz kontenera zawarty w obrazie węzła VHD wraz z otagowanymi odwołaniami do obrazów, skrótami i podatnościami CVE, które na niego wpływają.
| Pole | Typ | Description |
|---|---|---|
container_image |
ciąg | Nazwa obrazu bez tagu |
active_container_images |
ContainerImages | Oznakowane odwołania do obrazów i skróty |
active_cves |
CVE[] | Aktywne CVE z dostępnymi poprawkami |
removed_container_images_from_previous_release |
ContainerImages | Obrazy usunięte od czasu poprzedniego wydania VHD |
mitigated_cves_from_previous_release |
CVE[] | CVE usunięte od czasu poprzedniego wydania VHD |
AKSVHDOSPackageTarget
Model danych AKSVHDOSPackageTarget reprezentuje pakiet systemu operacyjnego zainstalowany w obrazie węzła VHD wraz z zainstalowaną wersją, lukami CVE, które go dotyczą, oraz wszelkimi zmianami względem poprzedniej wersji VHD.
| Pole | Typ | Description |
|---|---|---|
name |
ciąg | Nazwa pakietu (na przykład , "kernel", "containerd""systemd") |
version |
ciąg | Wersja pakietu (na przykład "6.1.109.2-1.cm2") |
active_cves |
CVE[] | Aktywne CVE z dostępnymi poprawkami |
previous_version |
ciąg | Wersja z poprzedniego wydania VHD (puste, jeśli bez zmian) |
mitigated_cves_from_previous_release |
CVE[] | CVE usunięte od czasu poprzedniego wydania VHD |
CVEScanner
Model danych CVEScanner reprezentuje metadane skanera luk w zabezpieczeniach, który generuje wyniki skanowania CVE dla obrazów kontenerów.
| Pole | Typ | Description |
|---|---|---|
name |
ciąg | Nazwa skanera (na przykład "trivy") |
version |
ciąg | Wersja skanera (na przykład "0.69.1") |
CVEList
Model danych CVEList reprezentuje zestaw CVE wykrytych przez konkretny skaner luk w zabezpieczeniach w danym obrazie kontenera. Każdy wpis kojarzy metadane skanera z listą wykrytych cvEs.
| Pole | Typ | Description |
|---|---|---|
scanner |
CVEScanner | Skaner, który wygenerował te wyniki |
cves |
CVE[] | CvEs wykryte przez ten skaner |
CVEMitigation
Model danych CVEMitigation śledzi pojedynczy identyfikator CVE w różnych wersjach komponentów i typach wydań, pokazując, gdzie został wykryty i gdzie zastosowano środki zaradcze.
| Pole | Typ | Description |
|---|---|---|
cve |
CVE | Śledzone CVE |
seen_in_component_versions |
string[] | Wersje składników (tagi obrazów lub wersje pakietów), w których wykryto tę wersję CVE |
seen_in_aks_release_versions |
string[] | Wersje wersji usługi AKS, w których wykryto tę wersję CVE |
seen_in_aks_k8s_release_versions |
string[] | Wersje wydania platformy Kubernetes, w których wykryto tę wersję CVE |
seen_in_vhd_release_versions |
string[] | Wersje wydania VHD, w których wykryto to CVE |
mitigated_in_component_versions |
string[] | Wersje składników, w których usunięto tę wersję CVE |
mitigated_in_aks_release_versions |
string[] | Wersje wersji usługi AKS, w których usunięto tę wersję CVE |
mitigated_in_aks_k8s_release_versions |
string[] | Wersje wydania platformy Kubernetes, w których usunięto tę wersję CVE |
mitigated_in_vhd_release_versions |
string[] | Wersje wydań VHD, w których naprawiono ten błąd CVE |
Śledzenie różnicowe
Raporty wydań usługi AKS i wydań VHD zawierają pola delta, które porównują bieżące wydanie z poprzednim:
-
mitigated_cves_from_previous_release: CVEs, które były obecne w poprzedniej wersji, ale nie są już wykrywane. Oznacza to, że luka w zabezpieczeniach została naprawiona (na przykład przez podniesienie wersji komponentu). -
removed_container_images_from_previous_release: obrazy kontenerów, które działały w poprzedniej wersji, ale nie występują w bieżącej wersji.
Note
Raporty wersji Kubernetes nie zawierają pól delta.
Skróty obejmujące wiele architektur
Każdy obraz kontenera może zawierać wiele odniesień do skrótów kontrolnych dla różnych architektur CPU (amd64, arm64). Interfejs API zawiera wszystkie sumy kontrolne platformy Linux z manifestów wieloarchitekturowych, dzięki czemu można dopasować dane CVE niezależnie od tego, którą konkretną sumę kontrolną platformy pobrał dany węzeł.
Formaty wersji raportu
W raportach interfejsu API danych o lukach w zabezpieczeniach usługi AKS stosowane są różne schematy wersjonowania w zależności od typu raportowanego wydania. Poniższa tabela podsumowuje formaty używane w przypadku wydań AKS, wersji Kubernetes i wydań VHD:
| Typ wydania | Format | Przykład |
|---|---|---|
| Wydanie usługi AKS | v{YYYYMMDD} |
v20260104 |
| Wersja platformy Kubernetes | Semver | 1.33.2 |
| Wersja VHD | {distro}/{YYYYMM.DD.patch} |
AKSAzureLinux-gen2/202512.06.0 |
Treści powiązane
Aby uzyskać więcej informacji o interfejsie API danych o lukach w zabezpieczeniach usługi AKS, zobacz Vulnerability Data API for Azure Kubernetes Service (AKS) overview.