COS fornisce un feed di vulnerabilità in Open Vulnerability and Assessment Language (OVAL), che è un set di dati strutturato e leggibile dalle macchine per tutte le release di COS supportate. Puoi utilizzare lo per valutare i problemi di sicurezza dei pacchetti installati su un sistema COS.
Puoi accedere al feed OVAL all'indirizzo gs://cos-oval-vulnerability-feed.
Il feed dipende dal file cos-package-info.json, che elenca i pacchetti installati su un'immagine. Questo file si trova nella directory /etc delle istanze VM.
Scansione delle istanze VM COS con il feed Oval
Puoi utilizzare il feed OVAL per eseguire la scansione di qualsiasi istanza COS. Ad esempio, supponiamo che tu voglia eseguire
un'istanza che esegue l'immagine COS-109:
Scarica il feed Oval per la tua istanza. Assicurati di scegliere il traguardo corretto. Per l'esempio corrente, è 109:
gcloud storage cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .Estrai il feed Oval scaricato:
tar xf cos-109.oval.xml.tar.gzCopia
cos-package-info.jsondall'istanza VM, in questo casomy-cos-instance:gcloud compute scp my-cos-instance:/etc/cos-package-info.json .Utilizza il tuo strumento preferito conforme al protocollo SCAP (Security Content Automation Protocol) in grado di elaborare il feed ovale. In questo caso, utilizziamo
OpenSCAP:oscap oval eval --report report.html cos-109.oval.xml
Tieni presente che il file cos-package-info.json e il feed COS Oval devono trovarsi nella stessa directory. In caso contrario, aggiorna il percorso di cos-package-info.json nel file del feed COS Oval.
Come correggere le vulnerabilità segnalate dallo scanner
Il feed elenca tutte le vulnerabilità risolte nell'ultima immagine COS. Di conseguenza, puoi correggere tutte le vulnerabilità aperte segnalate dallo scanner sul sistema l'aggiornamento all'ultima immagine COS per quel particolare traguardo.