COS bietet einen OVAL-Feed (Open Vulnerability and Assessment Language) für Sicherheitslücken, der ist ein strukturiertes, maschinenlesbares Dataset für alle unterstützten COS-Releases. Sie können die Feed, um auf einem COS-System installierte Pakete auf Sicherheitsprobleme zu bewerten.
Sie können den OVAL-Feed unter gs://cos-oval-vulnerability-feed
aufrufen.
Der Feed hängt von der Datei cos-package-info.json
ab, in der die installierten Pakete auf einem
Bild. Diese Datei befindet sich auf Ihren VM-Instanzen im Verzeichnis /etc
.
COS-VM-Instanzen mit Oval-Feed scannen
Mit dem OVAL-Feed können Sie jede COS-Instanz scannen. Nehmen wir beispielsweise an, Sie möchten
Eine Instanz, auf der das COS-109
-Image ausgeführt wird:
Laden Sie den Oval-Feed für Ihre Instanz herunter. Achten Sie darauf, den richtigen Meilenstein auszuwählen. Im aktuellen Beispiel ist sie 109:
gcloud storage cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .
Extrahieren Sie den heruntergeladenen Oval-Feed:
tar xf cos-109.oval.xml.tar.gz
Kopieren Sie
cos-package-info.json
von Ihrer VM-Instanz, in diesem Fallmy-cos-instance
:gcloud compute scp my-cos-instance:/etc/cos-package-info.json .
Verwenden Sie ein mit dem Security Content Automation Protocol (SCAP) kompatibles Tool, das Oval-Feeds verarbeiten kann. In diesem Fall verwenden wir
OpenSCAP
:oscap oval eval --report report.html cos-109.oval.xml
Die Datei cos-package-info.json
und der COS Oval-Feed müssen sich im selben Feed befinden.
-Verzeichnis. Ist dies nicht der Fall, aktualisieren Sie den Pfad von cos-package-info.json
in der COS Oval-Feeddatei.
Vom Scanner gemeldete Sicherheitslücken beheben
Der Feed enthält alle im neuesten COS-Image behobenen Sicherheitslücken. Daher können Sie alle offenen Sicherheitslücken beheben, die vom Scanner in Ihrem System gemeldet wurden, auf das neueste COS-Image für diesen Meilenstein aktualisiert.