Oval 脆弱性フィードを使用した COS イメージのスキャン

COS は Open Vulnerability and Assessment Language(OVAL)脆弱性フィードを提供しています。これは、サポートされているすべての COS リリース用の、機械で読み取り可能な構造化データセットです。フィードを使用して、COS システムにインストールされているパッケージのセキュリティの問題を評価できます。

gs://cos-oval-vulnerability-feed で OVAL フィードにアクセスできます。フィードは、イメージにインストールされているパッケージを一覧表示する cos-package-info.json ファイルに依存します。このファイルは、VM インスタンスの /etc ディレクトリにあります。

Oval フィードを使用した COS VM インスタンスのスキャン

Oval フィードを使用して、任意の COS インスタンスをスキャンできます。たとえば、COS-109 イメージを実行するインスタンスをスキャンするとします。

  1. インスタンスの Oval フィードをダウンロードします。正しいマイルストーンを選択してください。現在の例では、「109」です。

    gsutil cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .
    
  2. ダウンロードした Oval フィードを展開します。

    tar xf cos-109.oval.xml.tar.gz
    
  3. VM インスタンスから cos-package-info.json をコピーします。この場合、my-cos-instance になります。

    gcloud compute scp my-cos-instance:/etc/cos-package-info.json .
    
  4. 任意の Security Content Automation Protocol(SCAP)準拠のツールを使用して、Oval フィードを処理できます。この場合、OpenSCAP を使用します。

    oscap oval eval --report report.html cos-109.oval.xml
    

cos-package-info.json ファイルと COS Oval フィードは同じディレクトリに存在する必要があります。一致していない場合は、COS Oval フィード ファイル内の cos-package-info.json のパスを更新します。

スキャナによって報告された脆弱性の修正方法

フィードには、最新の COS イメージで修正されたすべての脆弱性が一覧表示されます。そのため、特定のマイルストーン用の最新の COS イメージに更新することで、システム上のスキャナによって報告されたすべての未解決の脆弱性を修正できます。