COS 提供 Open Vulnerability and Assessment Language (OVAL) 漏洞 Feed,这是一个结构化且可供机器读取的数据集,适用于所有受支持的 COS 版本。您可以使用该 Feed 评估 COS 系统上安装的软件包是否存在安全问题。
您可以通过 gs://cos-oval-vulnerability-feed 访问 OVAL Feed。
Feed 依赖于 cos-package-info.json 文件,该文件列出了
图片。此文件位于虚拟机实例上的 /etc 目录下。
使用椭圆形 Feed 扫描 COS 虚拟机实例
您可以使用 OVAL Feed 扫描任何 COS 实例。例如,假设您要
运行 COS-109 映像的实例:
下载实例的 Oval Feed。确保您选择了正确的里程碑。 对于当前示例,该值为 109:
gcloud storage cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .解压缩下载的 Oval Feed:
tar xf cos-109.oval.xml.tar.gz从您的虚拟机实例复制
cos-package-info.json,本例中为my-cos-instance:gcloud compute scp my-cos-instance:/etc/cos-package-info.json .使用可处理 Oval Feed 且符合安全内容自动化协议 (SCAP) 标准的首选工具。在本例中,我们使用
OpenSCAP:oscap oval eval --report report.html cos-109.oval.xml
请注意,cos-package-info.json 文件和 COS Oval Feed 需要位于同一目录中。如果不是,请更新 COS Oval Feed 文件中的 cos-package-info.json 路径。
如何修复扫描器报告的漏洞
该 Feed 列出了最新 COS 映像中修复的所有漏洞。因此,您可以通过更新到相应里程碑的最新 COS 映像,修复扫描器在您的系统上报告的所有未修复漏洞。