COS 提供开放漏洞和评估语言 (OVAL) 漏洞 Feed,这是一个适用于所有受支持的 COS 版本的结构化机器可读数据集。您可以使用 Feed 评估 COS 系统上安装的软件包是否存在安全问题。
您可以通过 gs://cos-oval-vulnerability-feed
访问 OVAL Feed。Feed 依赖于 cos-package-info.json
文件,该文件会列出映像上已安装的软件包。此文件位于虚拟机实例上的 /etc
目录下。
使用椭圆形 Feed 扫描 COS 虚拟机实例
您可以使用 OVAL Feed 扫描任何 COS 实例。例如,假设您要扫描运行 COS-109
映像的实例:
下载实例的 Oval Feed。确保您选择了正确的里程碑。 在当前示例中,该数字为 109:
gsutil cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .
提取下载的 Oval Feed:
tar xf cos-109.oval.xml.tar.gz
从您的虚拟机实例复制
cos-package-info.json
,本例中为my-cos-instance
:gcloud compute scp my-cos-instance:/etc/cos-package-info.json .
使用可处理 Oval Feed 且符合安全内容自动化协议 (SCAP) 标准的首选工具。在本例中,我们使用
OpenSCAP
:oscap oval eval --report report.html cos-109.oval.xml
请注意,cos-package-info.json
文件和 COS Oval Feed 需要位于同一目录中。如果不包含,请更新 COS Oval Feed 文件中的 cos-package-info.json
的路径。
如何修复扫描程序报告的漏洞
该 Feed 列出了最新 COS 映像中修复的所有漏洞。因此,您可以通过更新到特定里程碑的最新 COS 映像,修复系统上扫描器报告的所有待解决的漏洞。