COS bietet einen OVAL-Feed (Open Vulnerability and Assessment Language) für Sicherheitslücken, ein strukturiertes, maschinenlesbares Dataset für alle unterstützten COS-Releases. Mit dem Feed können Sie auf einem COS-System installierte Pakete auf Sicherheitsprobleme prüfen.
Sie können den OVAL-Feed unter gs://cos-oval-vulnerability-feed
aufrufen.
Der Feed hängt von der Datei cos-package-info.json
ab, in der die in einem Image installierten Pakete aufgelistet sind. Diese Datei befindet sich auf Ihren VM-Instanzen im Verzeichnis /etc
.
COS-VM-Instanzen mit Oval-Feed scannen
Mit dem OVAL-Feed können Sie jede COS-Instanz scannen. Angenommen, Sie möchten eine Instanz scannen, auf der das Image COS-109
ausgeführt wird:
Laden Sie den Oval-Feed für Ihre Instanz herunter. Achten Sie darauf, den richtigen Meilenstein auszuwählen. Im aktuellen Beispiel ist sie 109:
gsutil cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .
Extrahieren Sie den heruntergeladenen Oval-Feed:
tar xf cos-109.oval.xml.tar.gz
Kopieren Sie
cos-package-info.json
von Ihrer VM-Instanz, in diesem Fallmy-cos-instance
:gcloud compute scp my-cos-instance:/etc/cos-package-info.json .
Verwenden Sie ein mit dem Security Content Automation Protocol (SCAP) kompatibles Tool, das Oval-Feeds verarbeiten kann. In diesem Fall verwenden wir
OpenSCAP
:oscap oval eval --report report.html cos-109.oval.xml
Die Datei cos-package-info.json
und der COS Oval-Feed müssen sich im selben Verzeichnis befinden. Ist dies nicht der Fall, aktualisieren Sie den Pfad von cos-package-info.json
in der COS Oval-Feeddatei.
Vom Scanner gemeldete Sicherheitslücken beheben
Der Feed enthält alle im neuesten COS-Image behobenen Sicherheitslücken. Daher können Sie alle offenen Sicherheitslücken beheben, die vom Scanner in Ihrem System gemeldet wurden, indem Sie auf das neueste COS-Image für diesen bestimmten Meilenstein aktualisieren.