COS 提供了一个开放式漏洞和评估语言 (OVAL) 漏洞 Feed, 是机器可读的结构化数据数据集,适用于所有受支持的 COS 版本。您可以使用 Feed 以评估 COS 系统上安装的软件包是否存在安全问题。
您可以通过 gs://cos-oval-vulnerability-feed
访问 OVAL Feed。
Feed 依赖于 cos-package-info.json
文件,该文件列出了
图片。此文件位于虚拟机实例上的 /etc
目录下。
使用椭圆形 Feed 扫描 COS 虚拟机实例
您可以使用 OVAL Feed 扫描任何 COS 实例。例如,假设您要
运行 COS-109
映像的实例:
下载实例的 Oval Feed。确保您选择了正确的里程碑。 在当前示例中,该数字为 109:
gcloud storage cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .
提取下载的 Oval Feed:
tar xf cos-109.oval.xml.tar.gz
从您的虚拟机实例复制
cos-package-info.json
,本例中为my-cos-instance
:gcloud compute scp my-cos-instance:/etc/cos-package-info.json .
使用可处理 Oval Feed 且符合安全内容自动化协议 (SCAP) 标准的首选工具。在本例中,我们使用
OpenSCAP
:oscap oval eval --report report.html cos-109.oval.xml
请注意,cos-package-info.json
文件和 COS Oval Feed 必须位于同一位置
目录。如果不包含,请更新 COS Oval Feed 文件中的 cos-package-info.json
的路径。
如何修复扫描程序报告的漏洞
该 Feed 列出了最新 COS 映像中修复的所有漏洞。因此 您可以修复由扫描器在您系统上报告的所有待解决的漏洞, 更新到该特定里程碑的最新 COS 映像。