COS menyediakan feed kerentanan Open Vulnerability and Assessment Language (OVAL), yang merupakan set data terstruktur dan dapat dibaca mesin untuk semua rilis COS yang didukung. Anda dapat menggunakan feed tersebut untuk mengevaluasi paket yang diinstal di sistem COS terkait masalah keamanan.
Anda dapat mengakses feed OVAL di gs://cos-oval-vulnerability-feed.
Feed ini bergantung pada file cos-package-info.json, yang mencantumkan paket yang diinstal pada
gambar. File ini berada di direktori /etc pada instance VM Anda.
Memindai instance VM COS dengan feed Oval
Anda dapat menggunakan feed OVAL untuk memindai instance COS apa pun. Misalnya, anggap Anda ingin memindai instance yang menjalankan image COS-109:
Download feed Oval untuk instance Anda. Pastikan Anda memilih {i>milestone<i} yang benar. Untuk contoh saat ini, nilainya adalah 109:
gsutil cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .Ekstrak feed Oval yang didownload:
tar xf cos-109.oval.xml.tar.gzSalin
cos-package-info.jsondari instance VM Anda, dalam hal inimy-cos-instance:gcloud compute scp my-cos-instance:/etc/cos-package-info.json .Gunakan alat yang mematuhi Protokol Otomatisasi Konten Keamanan (SCAP) pilihan Anda yang dapat memproses feed Oval. Dalam hal ini, kita menggunakan
OpenSCAP:oscap oval eval --report report.html cos-109.oval.xml
Perhatikan bahwa file cos-package-info.json dan feed COS Oval harus berada di direktori yang sama. Jika tidak, perbarui jalur cos-package-info.json di file feed COS Oval.
Cara memperbaiki kerentanan yang dilaporkan oleh pemindai
Feed mencantumkan semua kerentanan yang diperbaiki dalam image COS terbaru. Dengan demikian, Anda dapat memperbaiki semua kerentanan terbuka yang dilaporkan oleh pemindai di sistem Anda dengan mengupdate ke image COS terbaru untuk pencapaian tertentu tersebut.