Oval の脆弱性フィードを使用した COS イメージのスキャン

COS は Open Vulnerability and Assessment Language（OVAL）脆弱性フィードを提供しています。これは、サポートされているすべての COS リリース用の、機械で読み取り可能な構造化データセットです。フィードを使用して、COS システムにインストールされているパッケージのセキュリティの問題を評価できます。

OVAL フィードには gs://cos-oval-vulnerability-feed からアクセスできます。フィードは、イメージにインストール済みのパッケージを一覧表示する cos-package-info.json ファイルに依存します。このファイルは、VM インスタンスの /etc ディレクトリにあります。

Oval フィードを使用した COS VM インスタンスのスキャン

Oval フィードを使用して、任意の COS インスタンスをスキャンできます。たとえば、COS-109 イメージを実行しているインスタンスをスキャンするとします。

1. インスタンスの Oval フィードをダウンロードします。正しいマイルストーンを選択するようにしてください。現在の例では 109 です。

   gcloud storage cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .
   

2. ダウンロードした Oval フィードを抽出します。

   tar xf cos-109.oval.xml.tar.gz
   

3. VM インスタンスから cos-package-info.json をコピーします。この場合は my-cos-instance です。

   gcloud compute scp my-cos-instance:/etc/cos-package-info.json .
   

4. 任意の Security Content Automation Protocol（SCAP）準拠のツールを使用して、Oval フィードを処理できます。この場合は、OpenSCAP を使用します。

   oscap oval eval --report report.html cos-109.oval.xml
   

なお、cos-package-info.json ファイルと COS Oval フィードは同じディレクトリに配置する必要があります。そうでない場合は、COS Oval フィード ファイルの cos-package-info.json のパスを更新します。

スキャナによって報告された脆弱性の修正方法

フィードには、最新の COS イメージで修正されたすべての脆弱性が一覧表示されます。そのため、特定のマイルストーンの最新の COS イメージに更新することで、システム上のスキャナによって報告されたすべての未解決の脆弱性を修正できます。