Como verificar imagens do COS com feed de vulnerabilidade oval

O COS fornece um feed de vulnerabilidade de linguagem de avaliação aberta (OVAL, na sigla em inglês), que é um conjunto de dados estruturado e legível por máquina para todas as versões compatíveis do COS. Você pode usar o para avaliar se há problemas de segurança nos pacotes instalados em um sistema COS.

Você pode acessar o feed OVAL em gs://cos-oval-vulnerability-feed. O feed depende do arquivo cos-package-info.json, que lista os pacotes instalados em uma imagem. Esse arquivo está localizado no diretório /etc nas instâncias de VM.

Como verificar instâncias de VM do COS com feed oval

Você pode usar o feed OVAL para fazer a varredura de qualquer instância do COS. Por exemplo, suponha que você queira verificar uma instância executando a imagem COS-109:

  1. Faça o download do feed Oval para sua instância. Escolha o marco correto. No exemplo atual, o valor é 109:

    gcloud storage cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .
    
  2. Extraia o feed oval transferido por download:

    tar xf cos-109.oval.xml.tar.gz
    
  3. Copie cos-package-info.json da sua instância de VM. Neste caso, my-cos-instance:

    gcloud compute scp my-cos-instance:/etc/cos-package-info.json .
    
  4. Use sua ferramenta preferida compatível com o Protocolo de Automação de Conteúdo de Segurança (SCAP, na sigla em inglês) que possa processar o feed Oval. Neste caso, usamos OpenSCAP:

    oscap oval eval --report report.html cos-109.oval.xml
    

O arquivo cos-package-info.json e o feed Oval do COS precisam estar no mesmo diretório. Caso contrário, atualize o caminho de cos-package-info.json no arquivo de feed oval do COS.

Como corrigir vulnerabilidades informadas pelo scanner

O feed lista todas as vulnerabilidades corrigidas na imagem mais recente do COS. Assim, é possível corrigir todas as vulnerabilidades abertas relatadas pelo scanner no seu sistema fazendo a atualização para a imagem mais recente do COS para esse marco específico.