O COS fornece um feed de vulnerabilidades da linguagem de avaliação e vulnerabilidade aberta (OVAL), que é um conjunto de dados estruturado e legível por máquina para todas as versões do COS suportadas. Pode usar o feed para avaliar pacotes instalados num sistema COS relativamente a problemas de segurança.
Pode aceder ao feed OVAL em gs://cos-oval-vulnerability-feed.
O feed depende do ficheiro cos-package-info.json, que lista os pacotes instalados numa imagem. Este ficheiro está localizado no diretório /etc nas suas instâncias de VM.
Analisar instâncias de VM do COS com o feed Oval
Pode usar o feed OVAL para analisar qualquer instância do COS. Por exemplo, suponha que quer analisar uma instância que executa a imagem COS-109:
Transfira o feed do Oval para a sua instância. Certifique-se de que escolhe a etapa importante correta. Para o exemplo atual, é 109:
gcloud storage cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .Extraia o feed Oval transferido:
tar xf cos-109.oval.xml.tar.gzCopie
cos-package-info.jsonda instância de VM, neste caso,my-cos-instance:gcloud compute scp my-cos-instance:/etc/cos-package-info.json .Use a sua ferramenta compatível com o Security Content Automation Protocol (SCAP) preferida que possa processar o feed OVAL. Neste caso, usamos
OpenSCAP:oscap oval eval --report report.html cos-109.oval.xml
Tenha em atenção que o ficheiro cos-package-info.json e o feed COS Oval têm de estar no mesmo diretório. Se não for o caso, atualize o caminho do cos-package-info.json no ficheiro de feed COS Oval.
Como corrigir vulnerabilidades comunicadas pelo analisador
O feed apresenta todas as vulnerabilidades corrigidas na imagem do COS mais recente. Como tal, pode corrigir todas as vulnerabilidades abertas comunicadas pelo verificador no seu sistema atualizando para a imagem do COS mais recente para esse marco específico.