Como verificar imagens do COS com o feed de vulnerabilidades do Oval

O COS oferece um feed de vulnerabilidades da linguagem de avaliação e vulnerabilidade aberta (OVAL, na sigla em inglês), que é um conjunto de dados estruturado e legível por máquina para todas as versões do COS com suporte. É possível usar o feed para avaliar se há problemas de segurança nos pacotes instalados em um sistema COS.

Acesse o feed OVAL em gs://cos-oval-vulnerability-feed. O feed depende do arquivo cos-package-info.json, que lista os pacotes instalados em uma imagem. Esse arquivo está localizado no diretório /etc nas instâncias de VM.

Como verificar instâncias de VM do COS com o feed Oval

Você pode usar o feed OVAL para verificar qualquer instância do COS. Por exemplo, suponha que você queira verificar uma instância que executa a imagem COS-109:

1. Faça o download do feed Oval para sua instância. Escolha o marco correto. No exemplo atual, é 109:

   gcloud storage cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .
   

2. Extraia o feed Oval salvo:

   tar xf cos-109.oval.xml.tar.gz
   

3. Copie cos-package-info.json da sua instância de VM, neste caso my-cos-instance:

   gcloud compute scp my-cos-instance:/etc/cos-package-info.json .
   

4. Use sua ferramenta preferida compatível com o protocolo de automação de conteúdo de segurança (SCAP, na sigla em inglês) que pode processar o feed Oval. Neste caso, usamos OpenSCAP:

   oscap oval eval --report report.html cos-109.oval.xml
   

O arquivo cos-package-info.json e o feed Oval do COS precisam estar no mesmo diretório. Caso contrário, atualize o caminho do cos-package-info.json no arquivo de feed Oval da COS.

Como corrigir vulnerabilidades informadas pelo scanner

O feed lista todas as vulnerabilidades corrigidas na imagem mais recente do COS. Assim, é possível corrigir todas as vulnerabilidades abertas relatadas pelo scanner no seu sistema fazendo a atualização para a imagem mais recente do COS para esse marco específico.