O COS oferece um feed de vulnerabilidades da linguagem de avaliação e vulnerabilidade aberta (OVAL, na sigla em inglês), que é um conjunto de dados estruturado e legível por máquina para todas as versões do COS com suporte. É possível usar o feed para avaliar se há problemas de segurança nos pacotes instalados em um sistema COS.
Acesse o feed OVAL em gs://cos-oval-vulnerability-feed.
O feed depende do arquivo cos-package-info.json, que lista os pacotes instalados em uma
imagem. Esse arquivo está localizado no diretório /etc nas instâncias de VM.
Como verificar instâncias de VM do COS com o feed Oval
Você pode usar o feed OVAL para verificar qualquer instância do COS. Por exemplo, suponha que você queira verificar
uma instância que executa a imagem COS-109:
Faça o download do feed Oval para sua instância. Escolha o marco correto. No exemplo atual, é 109:
gcloud storage cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .Extraia o feed Oval salvo:
tar xf cos-109.oval.xml.tar.gzCopie
cos-package-info.jsonda sua instância de VM, neste casomy-cos-instance:gcloud compute scp my-cos-instance:/etc/cos-package-info.json .Use sua ferramenta preferida compatível com o protocolo de automação de conteúdo de segurança (SCAP, na sigla em inglês) que pode processar o feed Oval. Neste caso, usamos
OpenSCAP:oscap oval eval --report report.html cos-109.oval.xml
O arquivo cos-package-info.json e o feed Oval do COS precisam estar no mesmo
diretório. Caso contrário, atualize o caminho do cos-package-info.json no arquivo de feed Oval da COS.
Como corrigir vulnerabilidades informadas pelo scanner
O feed lista todas as vulnerabilidades corrigidas na imagem mais recente do COS. Assim, é possível corrigir todas as vulnerabilidades abertas relatadas pelo scanner no seu sistema fazendo a atualização para a imagem mais recente do COS para esse marco específico.