COS fornisce un feed di vulnerabilità Open Vulnerability and Assessment Language (OVAL), ovvero un set di dati strutturato e leggibile dalle macchine per tutte le release di COS supportate. Puoi utilizzare il feed per valutare i pacchetti installati su un sistema COS e individuare eventuali problemi di sicurezza.
Puoi accedere al feed OVAL all'indirizzo gs://cos-oval-vulnerability-feed.
Il feed dipende dal file cos-package-info.json, che elenca i pacchetti installati su un'immagine. Questo file si trova nella directory /etc sulle tue istanze VM.
Scansione delle istanze VM di COS con il feed ovale
Puoi utilizzare il feed OVAL per eseguire la scansione di qualsiasi istanza COS. Ad esempio, supponiamo di voler eseguire la scansione
di un'istanza che esegue l'immagine COS-109:
Scarica il feed Ovale per la tua istanza. Assicurati di scegliere il traguardo corretto. Per l'esempio corrente, è 109:
gsutil cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .Estrai il feed ovale scaricato:
tar xf cos-109.oval.xml.tar.gzCopia
cos-package-info.jsondalla tua istanza VM, in questo casomy-cos-instance:gcloud compute scp my-cos-instance:/etc/cos-package-info.json .Utilizza il tuo strumento preferito conforme al protocollo SCAP (Security Content Automation Protocol) in grado di elaborare il feed ovale. In questo caso, utilizziamo
OpenSCAP:oscap oval eval --report report.html cos-109.oval.xml
Tieni presente che il file cos-package-info.json e il feed ovale COS devono essere nella stessa
directory. In caso contrario, aggiorna il percorso di cos-package-info.json nel file del feed COS Oval.
Come correggere le vulnerabilità segnalate dallo scanner
Il feed elenca tutte le vulnerabilità risolte nell'ultima immagine COS. Di conseguenza, puoi correggere tutte le vulnerabilità aperte segnalate dallo scanner sul tuo sistema aggiornando l'immagine COS all'ultima versione per quel particolare traguardo.