COS-Images mit dem Oval-Sicherheitslückenfeed scannen

COS stellt einen OVAL-Sicherheitslückenfeed (Open Vulnerability and Assessment Language) bereit, der ein strukturierter, maschinenlesbarer Datensatz für alle unterstützten COS-Releases ist. Mit dem Feed können Sie Pakete, die auf einem COS-System installiert sind, auf Sicherheitsprobleme prüfen.

Sie können unter gs://cos-oval-vulnerability-feed auf den OVAL-Feed zugreifen. Der Feed hängt von der Datei cos-package-info.json ab, in der die installierten Pakete auf einem Image aufgeführt sind. Diese Datei befindet sich in Ihren VM-Instanzen im Verzeichnis /etc.

COS-VM-Instanzen mit Oval-Feed scannen

Sie können den OVAL-Feed verwenden, um jede COS-Instanz zu scannen. Angenommen, Sie möchten eine Instanz mit dem Image COS-109 scannen:

1. Laden Sie den Oval-Feed für Ihre Instanz herunter. Achten Sie darauf, den richtigen Meilenstein auszuwählen. Im aktuellen Beispiel ist das 109:

   gcloud storage cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .
   

2. Extrahieren Sie den heruntergeladenen Oval-Feed:

   tar xf cos-109.oval.xml.tar.gz
   

3. Kopieren Sie cos-package-info.json aus Ihrer VM-Instanz, in diesem Fall my-cos-instance:

   gcloud compute scp my-cos-instance:/etc/cos-package-info.json .
   

4. Verwenden Sie Ihr bevorzugtes SCAP-kompatibles Tool (Security Content Automation Protocol), das Oval-Feeds verarbeiten kann. In diesem Fall verwenden wir OpenSCAP:

   oscap oval eval --report report.html cos-109.oval.xml
   

Die Datei cos-package-info.json und der COS Oval-Feed müssen sich im selben Verzeichnis befinden. Falls nicht, aktualisieren Sie den Pfad der cos-package-info.json in der COS Oval-Feeddatei.

Vom Scanner gemeldete Sicherheitslücken beheben

Der Feed enthält alle Sicherheitslücken, die im neuesten COS-Image behoben wurden. Sie können alle offenen Sicherheitslücken, die vom Scanner auf Ihrem System gemeldet wurden, beheben, indem Sie auf das neueste COS-Image für diesen bestimmten Meilenstein aktualisieren.