COS stellt einen OVAL-Sicherheitslückenfeed (Open Vulnerability and Assessment Language) bereit, der ein strukturierter, maschinenlesbarer Datensatz für alle unterstützten COS-Releases ist. Mit dem Feed können Sie Pakete, die auf einem COS-System installiert sind, auf Sicherheitsprobleme prüfen.
Sie können unter gs://cos-oval-vulnerability-feed auf den OVAL-Feed zugreifen.
Der Feed hängt von der Datei cos-package-info.json ab, in der die installierten Pakete auf einem Image aufgeführt sind. Diese Datei befindet sich in Ihren VM-Instanzen im Verzeichnis /etc.
COS-VM-Instanzen mit Oval-Feed scannen
Sie können den OVAL-Feed verwenden, um jede COS-Instanz zu scannen. Angenommen, Sie möchten eine Instanz mit dem Image COS-109 scannen:
Laden Sie den Oval-Feed für Ihre Instanz herunter. Achten Sie darauf, den richtigen Meilenstein auszuwählen. Im aktuellen Beispiel ist das 109:
gcloud storage cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .Extrahieren Sie den heruntergeladenen Oval-Feed:
tar xf cos-109.oval.xml.tar.gzKopieren Sie
cos-package-info.jsonaus Ihrer VM-Instanz, in diesem Fallmy-cos-instance:gcloud compute scp my-cos-instance:/etc/cos-package-info.json .Verwenden Sie Ihr bevorzugtes SCAP-kompatibles Tool (Security Content Automation Protocol), das Oval-Feeds verarbeiten kann. In diesem Fall verwenden wir
OpenSCAP:oscap oval eval --report report.html cos-109.oval.xml
Die Datei cos-package-info.json und der COS Oval-Feed müssen sich im selben Verzeichnis befinden. Falls nicht, aktualisieren Sie den Pfad der cos-package-info.json in der COS Oval-Feeddatei.
Vom Scanner gemeldete Sicherheitslücken beheben
Der Feed enthält alle Sicherheitslücken, die im neuesten COS-Image behoben wurden. Sie können alle offenen Sicherheitslücken, die vom Scanner auf Ihrem System gemeldet wurden, beheben, indem Sie auf das neueste COS-Image für diesen bestimmten Meilenstein aktualisieren.