Analyser des images COS avec le flux de failles Oval
Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
COS fournit un flux de failles OVAL (Open Vulnerability and Assessment Language), qui est un ensemble de données structuré et lisible par machine pour toutes les versions COS compatibles. Vous pouvez utiliser le flux pour évaluer les problèmes de sécurité des packages installés sur un système COS.
Vous pouvez accéder au flux OVAL à l'adresse gs://cos-oval-vulnerability-feed.
Le flux dépend du fichier cos-package-info.json, qui liste les packages installés sur une image. Ce fichier se trouve dans le répertoire /etc de vos instances de VM.
Analyser des instances de VM COS avec un flux Oval
Vous pouvez utiliser le flux OVAL pour analyser n'importe quelle instance COS. Par exemple, supposons que vous souhaitiez analyser une instance exécutant l'image COS-109:
Téléchargez le flux Oval pour votre instance. Assurez-vous de sélectionner le bon jalon.
Dans l'exemple actuel, il s'agit de 109:
Utilisez l'outil de votre choix conforme au protocole SCAP (Security Content Automation Protocol) qui peut traiter le flux Oval. Dans ce cas, nous utilisons OpenSCAP:
Notez que le fichier cos-package-info.json et le flux COS Oval doivent se trouver dans le même répertoire. Si ce n'est pas le cas, modifiez le chemin d'accès de l'cos-package-info.json dans le fichier de flux Oval de COS.
Résoudre les failles signalées par l'outil d'analyse
Le flux liste toutes les failles corrigées dans la dernière image COS. Vous pouvez donc corriger toutes les failles ouvertes signalées par l'outil d'analyse sur votre système en passant à la dernière image COS pour ce jalon particulier.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/04 (UTC)."],[[["\u003cp\u003eCOS provides an Open Vulnerability and Assessment Language (OVAL) feed, a structured dataset for identifying security vulnerabilities in supported COS releases.\u003c/p\u003e\n"],["\u003cp\u003eThe OVAL feed, accessible at \u003ccode\u003egs://cos-oval-vulnerability-feed\u003c/code\u003e, relies on the \u003ccode\u003ecos-package-info.json\u003c/code\u003e file, which lists installed packages on an image and is located in the \u003ccode\u003e/etc\u003c/code\u003e directory.\u003c/p\u003e\n"],["\u003cp\u003eScanning a COS instance involves downloading and extracting the OVAL feed for the specific milestone, copying the \u003ccode\u003ecos-package-info.json\u003c/code\u003e file from the VM, and using an SCAP-compliant tool like OpenSCAP.\u003c/p\u003e\n"],["\u003cp\u003eVulnerabilities reported by the scanner can be resolved by updating to the latest COS image for the applicable milestone, as the feed lists vulnerabilities fixed in these images.\u003c/p\u003e\n"]]],[],null,["# Scanning COS images with Oval vulnerability feed\n\nCOS provides an Open Vulnerability and Assessment Language (OVAL) vulnerability feed, which\nis a structured, machine-readable dataset for all supported COS releases. You can use the\nfeed to evaluate packages installed on a COS system for security issues.\n\nYou can access the OVAL feed at `gs://cos-oval-vulnerability-feed`.\nThe feed depends on the `cos-package-info.json` file, which lists installed packages on an\nimage. This file is located at `/etc` directory on your VM instances.\n\nScanning COS VM instances with Oval feed\n----------------------------------------\n\nYou can use the OVAL feed to scan any COS instance. For example, assume you want to scan\nan instance running the `COS-109` image:\n\n1. Download the Oval feed for your instance. Make sure you choose the correct milestone.\n For the current example, it is 109:\n\n gcloud storage cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .\n\n2. Extract the downloaded Oval feed:\n\n tar xf cos-109.oval.xml.tar.gz\n\n3. Copy `cos-package-info.json` from your VM instance, in this case `my-cos-instance`:\n\n gcloud compute scp my-cos-instance:/etc/cos-package-info.json .\n\n4. Use your preferred Security Content Automation Protocol (SCAP) compliant tool that can process Oval feed. In this case, we use `OpenSCAP`:\n\n oscap oval eval --report report.html cos-109.oval.xml\n\nNote that the `cos-package-info.json` file and the COS Oval feed need to be in the same\ndirectory. If not, update the path of the `cos-package-info.json` in the COS Oval feed file.\n\nHow to fix vulnerabilities reported by the scanner\n--------------------------------------------------\n\nThe feed lists all the vulnerabilities fixed in the latest COS image. As such,\nyou can fix all open vulnerabilities reported by the scanner on your system by\nupdating to the latest COS image for that particular milestone."]]
