查看漏洞报告

软件漏洞可能会导致意外的系统故障或恶意活动。如需了解详情，请参阅漏洞报告。

本文档介绍了如何使用虚拟机管理器设置虚拟机，并查看操作系统的漏洞报告。

准备工作

查看 OS Config 配额。
设置虚拟机管理器。
设置身份验证（如果尚未设置）。身份验证是通过其进行身份验证以访问 Google Cloud 服务和 API 的过程。如需从本地开发环境运行代码或示例，您可以按如下方式向 Compute Engine 进行身份验证。

选择标签页以了解您打算如何使用本页面上的示例：
控制台

当您使用 Google Cloud 控制台访问 Google Cloud 服务和 API 时，无需设置身份验证。
gcloud
1. 安装 Google Cloud CLI，然后通过运行以下命令初始化 Google Cloud CLI：
```
gcloud init
```
  注意：如果您之前安装了 gcloud CLI，请确保通过运行 gcloud components update 获得最新版本。
2. 设置默认区域和可用区。
REST

如需在本地开发环境中使用本页面上的 REST API 示例，请使用您提供给 gcloud CLI 的凭据。

支持的操作系统

如需查看您可以使用虚拟机管理器获取其漏洞报告的操作系统和版本的完整列表，请参阅操作系统详细信息。

所需的角色和权限

如需获得查看漏洞报告所需的权限，请让您的管理员为您授予项目的以下 IAM 角色：

使用 gcloud CLI 或 API 查看漏洞报告：OS Config Vulnerability Report Viewer (roles/osconfig.vulnerabilityReportViewer)
使用 Google Cloud 控制台查看漏洞报告：
- OS Config Vulnerability Report Viewer (roles/osconfig.vulnerabilityReportViewer)
- OS Inventory Viewer (roles/osconfig.inventoryViewer)
在“修补”页面上的虚拟机实例详情对话框中查看 CVE 信息：
- Patch Deployment Viewer (roles/osconfig.patchDeploymentViewer)
- Patch Job Viewer (roles/osconfig.patchJobViewer)

如需详细了解如何授予角色，请参阅管理访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

除了这些角色之外，如需使用 Google Cloud 控制台访问 Compute Engine 资源，您必须拥有一个可提供项目的 compute.projects.get 权限的角色。

查看漏洞报告

如需查看漏洞报告，您可以使用以下任一选项：

使用 Google Cloud 控制台、gcloud CLI 或 API。
如果您是 Security Command Center 高级层级用户，请使用 Security Command Center 信息中心。
使用 Cloud Asset Inventory。

使用 gcloud CLI 或 API 查看漏洞报告

使用以下方法之一可查看虚拟机的漏洞报告。

控制台

如需使用 Google Cloud 控制台查看虚拟机的操作系统漏洞报告，请执行以下步骤：

在 Google Cloud 控制台中，打开虚拟机实例页面。
进入“虚拟机实例”
点击您要查看其操作系统信息的实例的名称。系统会显示实例详情页面。
点击操作系统信息标签页。
如需查看操作系统清点数据，您必须启用虚拟机管理器。如果 Google Cloud 控制台提示您启用虚拟机管理器，请选择以下选项之一：
- 为当前项目启用：为所选项目中的所有虚拟机启用虚拟机管理器
- 为此虚拟机启用：仅为所选虚拟机启用虚拟机管理器
在操作系统信息标签页中查看操作系统漏洞列表。

gcloud

如需查看特定可用区中虚拟机的漏洞报告，请使用 os-config vulnerability-reports list 命令。

例如，如需列出具有清点数据的所有虚拟机，请运行以下命令：

gcloud compute os-config vulnerability-reports list \
   --location=ZONE

将 ZONE 替换为虚拟机所在的可用区。

示例

gcloud compute os-config vulnerability-reports list \
   --location=us-west2-a

输出示例

INSTANCE_ID         VULNERABILITY_COUNT  UPDATE_TIME
29255009728795105   2                    2021-04-13T19:10:10.303046Z
307058717116242358  1                    2021-04-13T19:10:10.303046Z

如需查看特定虚拟机的漏洞报告，请运行 os-config vulnerability-reports describe 命令，指定上一步中返回的 INSTANCE_ID 或者 INSTANCE_NAME。

gcloud compute os-config vulnerability-reports describe VM_NAME \
   --location=ZONE

请替换以下内容：

VM_NAME：您的虚拟机的名称
ZONE：虚拟机实例所在的区域

示例

gcloud compute os-config vulnerability-reports describe vm1-centos \
   --location=us-west2-a

输出示例

┌───────────────────────────────────────────────────────────────────┐
│                          Vulnerabilities                          │
├──────────────────┬──────────┬───────────────┬─────────────────────┤
│       CVE        │ SEVERITY │ CVSS_V3_SCORE │     CREATE_TIME     │
├──────────────────┼──────────┼───────────────┼─────────────────────┤
│ CVE-2012-6655    │ LOW      │ 3.3           │ 2021-04-29T22:19:53 │
│ CVE-2016-1585    │ MEDIUM   │ 9.8           │ 2021-04-29T22:19:53 │
│ CVE-2016-2781    │ LOW      │ 6.5           │ 2021-04-29T22:19:53 │
│ CVE-2019-7306    │ LOW      │ 7.5           │ 2021-04-29T22:19:53 │
│ CVE-2020-13776   │ LOW      │ 6.7           │ 2021-04-29T22:19:53 │
│ CVE-2021-31879   │ MEDIUM   │ 6.1           │ 2021-05-05T06:11:53 │
└──────────────────┴──────────┴───────────────┴─────────────────────┘
name: projects/384587888288/locations/us-west2-a/instances/29255009728795105/vulnerabilityReport
updateTime: '2021-05-11T22:29:50'

REST

如需查看特定可用区中虚拟机的漏洞报告，请创建对 projects.locations.instances.vulnerabilityReports 方法的 GET 请求。
```
GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/–/vulnerabilityReports
```
请替换以下内容：
- PROJECT_ID：您的项目 ID
- ZONE：虚拟机所在的可用区
如需查看特定虚拟机的漏洞报告，请创建对 projects.locations.instances.getVulnerabilityReport 方法的 GET 请求。
```
GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/INSTANCE/vulnerabilityReport
```
请替换以下内容：
- PROJECT_ID：您的项目 ID
- ZONE：虚拟机实例所在的区域
- INSTANCE：指定虚拟机的实例 ID 或名称

使用 Security Command Center 信息中心查看漏洞报告

Security Command Center 是 Google Cloud 的集中式漏洞和威胁报告服务。

如果您是 Security Command Center 高级层级用户，则可以访问在您组织的虚拟机上运行的操作系统的漏洞报告数据。

在 Security Command Center 信息中心的发现结果页面上，您可以查看影响操作系统的所有已识别漏洞的常见漏洞和披露 (CVE) ID。

如需了解如何使用 Security Command Center 信息中心访问和查看操作系统漏洞数据，请参阅虚拟机管理器。

查看来自 Cloud Asset Inventory 的漏洞报告数据

OS Inventory Management 会存储清点和漏洞报告数据，并将其转发到 Cloud Asset Inventory。Cloud Asset Inventory 是一种元数据清点服务，可让您查看、监控和分析整个 Google Cloud 中的资产。借助 Cloud Asset Inventory，您可以轮询信息并查看数据中的更改。

如需从 Cloud Asset Inventory 访问操作系统清点和漏洞报告数据，您需要完成以下设置：

设置虚拟机管理器。
在您的 Google Cloud 项目上，启用 Cloud Asset Inventory API、Google Cloud CLI 并分配权限。

如需了解详情，请参阅查看虚拟机管理器数据。

后续步骤

详细了解 OS Inventory Management。