COS מספק פיד של נקודות חולשה בשפה OVAL (Open Vulnerability and Assessment Language), שהוא מערך נתונים מובנה שניתן לקריאה על ידי מכונה לכל הגרסאות הנתמכות של COS. אפשר להשתמש בפיד כדי להעריך חבילות שמותקנות במערכת COS ולבדוק אם יש בהן בעיות אבטחה.
אפשר לגשת לפיד OVAL בכתובת gs://cos-oval-vulnerability-feed.
הפיד תלוי בקובץ cos-package-info.json, שמפרט חבילות מותקנות בתמונה. הקובץ הזה נמצא בספרייה /etc במכונות ה-VM.
סריקת מכונות וירטואליות של COS באמצעות פיד Oval
אתם יכולים להשתמש בפיד OVAL כדי לסרוק כל מופע של COS. לדוגמה, נניח שרוצים לסרוק מכונה שמריצה את תמונת COS-109:
מורידים את פיד Oval למופע. חשוב לבחור את אבן הדרך הנכונה. בדוגמה הנוכחית, זה יהיה 109:
gcloud storage cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .מחלצים את פיד ה-Oval שהורד:
tar xf cos-109.oval.xml.tar.gzמעתיקים את
cos-package-info.jsonמהמופע של ה-VM, במקרה הזהmy-cos-instance:gcloud compute scp my-cos-instance:/etc/cos-package-info.json .משתמשים בכלי המועדף שתואם לפרוטוקול Security Content Automation Protocol (SCAP) ויכול לעבד פיד Oval. במקרה הזה, נשתמש ב-
OpenSCAP:oscap oval eval --report report.html cos-109.oval.xml
שימו לב: קובץ cos-package-info.json ופיד COS Oval צריכים להיות באותה ספרייה. אם לא, צריך לעדכן את הנתיב של cos-package-info.json בקובץ הפיד של COS Oval.
איך מתקנים נקודות תורפה שזוהו על ידי הסורק
בפיד מפורטות כל הפגיעויות שתוקנו בתמונת ה-COS האחרונה. לכן, כדי לתקן את כל נקודות החולשה הפתוחות שמדווחות על ידי הסורק במערכת, צריך לעדכן לגרסת התמונה האחרונה של COS עבור אבן הדרך הספציפית הזו.