COS bietet einen OVAL-Feed (Open Vulnerability and Assessment Language) für Sicherheitslücken, der ist ein strukturiertes, maschinenlesbares Dataset für alle unterstützten COS-Releases. Mit dem Feed können Sie Pakete, die auf einem COS-System installiert sind, auf Sicherheitsprobleme prüfen.
Sie können unter gs://cos-oval-vulnerability-feed auf den OVAL-Feed zugreifen.
Der Feed hängt von der Datei cos-package-info.json ab, in der die installierten Pakete auf einem
Bild. Diese Datei befindet sich in Ihren VM-Instanzen im Verzeichnis /etc.
COS-VM-Instanzen mit Oval-Feed scannen
Sie können den OVAL-Feed verwenden, um jede COS-Instanz zu scannen. Nehmen wir beispielsweise an, Sie möchten
Eine Instanz, auf der das COS-109-Image ausgeführt wird:
Laden Sie den Oval-Feed für Ihre Instanz herunter. Achten Sie darauf, den richtigen Meilenstein auszuwählen. Im aktuellen Beispiel ist sie 109:
gcloud storage cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .Extrahieren Sie den heruntergeladenen Oval-Feed:
tar xf cos-109.oval.xml.tar.gzKopieren Sie
cos-package-info.jsonaus Ihrer VM-Instanz, in diesem Fallmy-cos-instance:gcloud compute scp my-cos-instance:/etc/cos-package-info.json .Verwenden Sie Ihr bevorzugtes SCAP-kompatibles Tool (Security Content Automation Protocol), das Oval-Feeds verarbeiten kann. In diesem Fall verwenden wir
OpenSCAP:oscap oval eval --report report.html cos-109.oval.xml
Die Datei cos-package-info.json und der COS Oval-Feed müssen sich im selben Verzeichnis befinden. Ist dies nicht der Fall, aktualisieren Sie den Pfad von cos-package-info.json in der COS Oval-Feeddatei.
Vom Scanner gemeldete Sicherheitslücken beheben
Der Feed enthält alle im neuesten COS-Image behobenen Sicherheitslücken. Sie können alle offenen Sicherheitslücken, die vom Scanner auf Ihrem System gemeldet wurden, beheben, indem Sie auf das neueste COS-Image für diesen bestimmten Meilenstein aktualisieren.