COS는 지원되는 모든 COS 출시 버전에 대한 머신이 읽을 수 있는 구조화된 데이터 세트인 Open Vulnerability and Assessment Language(OVAL) 취약점 피드를 제공합니다. 피드를 사용하여 COS 시스템에 설치된 패키지에 보안 문제를 평가할 수 있습니다.
gs://cos-oval-vulnerability-feed에서 OVAL 피드에 액세스할 수 있으며,
피드는 이미지에 설치된 패키지를 나열하는 cos-package-info.json 파일에 따라 달라집니다. 이 파일은 VM 인스턴스의 /etc 디렉터리에 있습니다.
OVAL 피드를 사용하여 COS VM 인스턴스 스캔
OVAL 피드를 사용하여 모든 COS 인스턴스를 스캔할 수 있습니다. 예를 들어 COS-109 이미지를 실행하는 인스턴스를 스캔한다고 가정해 보겠습니다.
인스턴스의 OVAL 피드를 다운로드합니다. 올바른 마일스톤을 선택해야 합니다. 현재 예시에서는 109입니다.
gsutil cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .다운로드한 OVAL 피드를 추출합니다.
tar xf cos-109.oval.xml.tar.gzVM 인스턴스에서
cos-package-info.json을 복사합니다. 이 경우my-cos-instance입니다.gcloud compute scp my-cos-instance:/etc/cos-package-info.json .OVAL 피드를 처리할 수 있는 원하는 보안 콘텐츠 자동화 프로토콜(SCAP) 규정 준수 도구를 사용합니다. 여기에서는
OpenSCAP을 사용합니다.oscap oval eval --report report.html cos-109.oval.xml
cos-package-info.json 파일과 COS OVAL 피드는 같은 디렉터리에 있어야 합니다. 그렇지 않으면 COS OVAL 피드 파일에서 cos-package-info.json 경로를 업데이트합니다.
스캐너가 보고한 취약점 해결 방법
피드에는 최신 COS 이미지에서 수정된 모든 취약점이 나열됩니다. 따라서 특정 마일스톤의 최신 COS 이미지로 업데이트하여 시스템의 스캐너가 보고한 모든 미해결 취약점을 해결할 수 있습니다.