OVAL 취약점 피드로 COS 이미지 스캔

COS는 지원되는 모든 COS 출시 버전에 대한 머신이 읽을 수 있는 구조화된 데이터 세트인 Open Vulnerability and Assessment Language(OVAL) 취약점 피드를 제공합니다. 피드를 사용하여 COS 시스템에 설치된 패키지의 보안 문제를 평가할 수 있습니다.

gs://cos-oval-vulnerability-feed에서 OVAL 피드에 액세스할 수 있으며, 피드는 이미지에 설치된 패키지를 나열하는 cos-package-info.json 파일에 따라 달라집니다. 이 파일은 VM 인스턴스의 /etc 디렉터리에 있습니다.

OVAL 피드를 사용하여 COS VM 인스턴스 스캔

OVAL 피드를 사용하여 모든 COS 인스턴스를 스캔할 수 있습니다. 예를 들어 COS-109 이미지를 실행하는 인스턴스를 스캔하려는 경우를 가정해 보겠습니다.

1. 인스턴스의 OVAL 피드를 다운로드합니다. 올바른 마일스톤을 선택해야 합니다. 현재 예시의 경우 109입니다.

   gcloud storage cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .
   

2. 다운로드한 OVAL 피드를 추출합니다.

   tar xf cos-109.oval.xml.tar.gz
   

3. VM 인스턴스(이 경우 my-cos-instance)에서 cos-package-info.json을 복사합니다.

   gcloud compute scp my-cos-instance:/etc/cos-package-info.json .
   

4. OVAL 피드를 처리할 수 있는 원하는 보안 콘텐츠 자동화 프로토콜(SCAP) 규정 준수 도구를 사용합니다. 여기에서는 OpenSCAP을 사용합니다.

   oscap oval eval --report report.html cos-109.oval.xml
   

cos-package-info.json 파일과 COS OVAL 피드는 같은 디렉터리에 있어야 합니다. 그렇지 않으면 COS OVAL 피드 파일에서 cos-package-info.json 경로를 업데이트합니다.

스캐너에서 보고한 취약점을 해결하는 방법

피드에는 최신 COS 이미지에서 수정된 모든 취약점이 나열됩니다. 따라서 특정 마일스톤의 최신 COS 이미지로 업데이트하여 시스템의 스캐너가 보고한 모든 미해결 취약점을 해결할 수 있습니다.