Scansione delle immagini COS con il feed delle vulnerabilità Oval

COS fornisce un feed di vulnerabilità in Open Vulnerability and Assessment Language (OVAL), che è un set di dati strutturato e leggibile dalle macchine per tutte le release di COS supportate. Puoi utilizzare il feed per valutare la presenza di problemi di sicurezza nei pacchetti installati su un sistema COS.

Puoi accedere al feed OVAL all'indirizzo gs://cos-oval-vulnerability-feed. Il feed dipende dal file cos-package-info.json, che elenca i pacchetti installati su un'immagine. Questo file si trova nella directory /etc delle istanze VM.

Scansione delle istanze VM COS con il feed Oval

Puoi utilizzare il feed OVAL per eseguire la scansione di qualsiasi istanza COS. Ad esempio, supponiamo di voler eseguire la scansione di un'istanza che esegue l'immagine COS-109:

1. Scarica il feed Oval per la tua istanza. Assicurati di scegliere il traguardo corretto. Per l'esempio corrente, è 109:

   gcloud storage cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .
   

2. Estrai il feed Oval scaricato:

   tar xf cos-109.oval.xml.tar.gz
   

3. Copia cos-package-info.json dall'istanza VM, in questo caso my-cos-instance:

   gcloud compute scp my-cos-instance:/etc/cos-package-info.json .
   

4. Utilizza lo strumento conforme a Security Content Automation Protocol (SCAP) che preferisci e che può elaborare il feed Oval. In questo caso, utilizziamo OpenSCAP:

   oscap oval eval --report report.html cos-109.oval.xml
   

Tieni presente che il file cos-package-info.json e il feed COS Oval devono trovarsi nella stessa directory. In caso contrario, aggiorna il percorso di cos-package-info.json nel file del feed COS Oval.

Come correggere le vulnerabilità segnalate dallo scanner

Il feed elenca tutte le vulnerabilità corrette nell'immagine COS più recente. Di conseguenza, puoi correggere tutte le vulnerabilità aperte segnalate dallo scanner sul tuo sistema aggiornando all'immagine COS più recente per quel determinato traguardo.