O COS fornece um feed de vulnerabilidade de linguagem de avaliação aberta (OVAL, na sigla em inglês), que é um conjunto de dados estruturado e legível por máquina para todas as versões compatíveis do COS. Você pode usar o feed para avaliar se há problemas de segurança nos pacotes instalados em um sistema COS.
Você pode acessar o feed OVAL em gs://cos-oval-vulnerability-feed.
O feed depende do arquivo cos-package-info.json, que lista os pacotes instalados em uma imagem. Esse arquivo está localizado no diretório /etc das instâncias de VM.
Como verificar instâncias de VM do COS com feed oval
É possível usar o feed OVAL para verificar qualquer instância do COS. Por exemplo, suponha que você queira verificar uma instância que executa a imagem COS-109:
Faça o download do feed oval da sua instância. Escolha o marco correto. No exemplo atual, o valor é 109:
gsutil cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .Extraia o feed oval transferido por download:
tar xf cos-109.oval.xml.tar.gzCopie
cos-package-info.jsonda sua instância de VM. Neste caso,my-cos-instance:gcloud compute scp my-cos-instance:/etc/cos-package-info.json .Use sua ferramenta preferida compatível com o Protocolo de Automação de Conteúdo de Segurança (SCAP, na sigla em inglês) que possa processar feeds Oval. Neste caso, usamos
OpenSCAP:oscap oval eval --report report.html cos-109.oval.xml
Observe que o arquivo cos-package-info.json e o feed oval do COS precisam estar no mesmo diretório. Caso contrário, atualize o caminho de cos-package-info.json no arquivo de feed oval do COS.
Como corrigir as vulnerabilidades relatadas pelo scanner
O feed lista todas as vulnerabilidades corrigidas na imagem mais recente do COS. Dessa forma, é possível corrigir todas as vulnerabilidades abertas relatadas pelo scanner no seu sistema atualizando para a imagem mais recente do COS referente a esse marco específico.