COS 提供 Open Vulnerability and Assessment Language (OVAL) 漏洞 Feed,这是一个结构化且可供机器读取的数据集,适用于所有受支持的 COS 版本。您可以使用该 Feed 评估 COS 系统上安装的软件包是否存在安全问题。
您可以通过 gs://cos-oval-vulnerability-feed 访问 OVAL Feed。
该 Feed 依赖于 cos-package-info.json 文件,该文件会列出映像上安装的软件包。此文件位于虚拟机实例的 /etc 目录中。
使用 Oval Feed 扫描 COS 虚拟机实例
您可以使用 OVAL Feed 扫描任何 COS 实例。例如,假设您要扫描运行 COS-109 映像的实例:
下载实例的 Oval Feed。请确保您选择了正确的里程碑。 对于当前示例,该值为 109:
gcloud storage cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .解压缩下载的 Oval Feed:
tar xf cos-109.oval.xml.tar.gz从您的虚拟机实例(在本例中为
my-cos-instance)复制cos-package-info.json:gcloud compute scp my-cos-instance:/etc/cos-package-info.json .使用符合安全内容自动化协议 (SCAP) 且可处理 Oval Feed 的首选工具。在本例中,我们使用
OpenSCAP:oscap oval eval --report report.html cos-109.oval.xml
请注意,cos-package-info.json 文件和 COS Oval Feed 需要位于同一目录中。如果不是,请更新 COS Oval Feed 文件中的 cos-package-info.json 路径。
如何修复扫描工具报告的漏洞
该 Feed 会列出最新 COS 映像中修复的所有漏洞。因此,您可以通过更新到相应里程碑的最新 COS 映像,修复扫描器在您的系统上报告的所有未解决漏洞。