Oval の脆弱性フィードを使用した COS イメージのスキャン
COS は Open Vulnerability and Assessment Language(OVAL)脆弱性フィードを提供しています。これは、サポートされているすべての COS リリース用の、機械で読み取り可能な構造化データセットです。フィードを使用して、COS システムにインストールされているパッケージのセキュリティの問題を評価できます。
OVAL フィードには gs://cos-oval-vulnerability-feed からアクセスできます。フィードは、イメージにインストール済みのパッケージを一覧表示する cos-package-info.json ファイルに依存します。このファイルは、VM インスタンスの /etc ディレクトリにあります。
Oval フィードを使用した COS VM インスタンスのスキャン
Oval フィードを使用して、任意の COS インスタンスをスキャンできます。たとえば、COS-109 イメージを実行しているインスタンスをスキャンするとします。
インスタンスの Oval フィードをダウンロードします。正しいマイルストーンを選択するようにしてください。現在の例では 109 です。
gcloud storage cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .
ダウンロードした Oval フィードを抽出します。
tar xf cos-109.oval.xml.tar.gz
VM インスタンスから cos-package-info.json をコピーします。この場合は my-cos-instance です。
gcloud compute scp my-cos-instance:/etc/cos-package-info.json .
任意の Security Content Automation Protocol(SCAP)準拠のツールを使用して、Oval フィードを処理できます。この場合は、OpenSCAP を使用します。
oscap oval eval --report report.html cos-109.oval.xml
なお、cos-package-info.json ファイルと COS Oval フィードは同じディレクトリに配置する必要があります。そうでない場合は、COS Oval フィード ファイルの cos-package-info.json のパスを更新します。
スキャナによって報告された脆弱性の修正方法
フィードには、最新の COS イメージで修正されたすべての脆弱性が一覧表示されます。そのため、特定のマイルストーンの最新の COS イメージに更新することで、システム上のスキャナによって報告されたすべての未解決の脆弱性を修正できます。
特に記載のない限り、このページのコンテンツはクリエイティブ・コモンズの表示 4.0 ライセンスにより使用許諾されます。コードサンプルは Apache 2.0 ライセンスにより使用許諾されます。詳しくは、Google Developers サイトのポリシーをご覧ください。Java は Oracle および関連会社の登録商標です。
最終更新日 2025-08-08 UTC。
[[["わかりやすい","easyToUnderstand","thumb-up"],["問題の解決に役立った","solvedMyProblem","thumb-up"],["その他","otherUp","thumb-up"]],[["必要な情報がない","missingTheInformationINeed","thumb-down"],["複雑すぎる / 手順が多すぎる","tooComplicatedTooManySteps","thumb-down"],["最新ではない","outOfDate","thumb-down"],["翻訳に関する問題","translationIssue","thumb-down"],["サンプル / コードに問題がある","samplesCodeIssue","thumb-down"],["その他","otherDown","thumb-down"]],["最終更新日 2025-08-08 UTC。"],[[["COS provides an Open Vulnerability and Assessment Language (OVAL) feed, a structured dataset for identifying security vulnerabilities in supported COS releases."],["The OVAL feed, accessible at `gs://cos-oval-vulnerability-feed`, relies on the `cos-package-info.json` file, which lists installed packages on an image and is located in the `/etc` directory."],["Scanning a COS instance involves downloading and extracting the OVAL feed for the specific milestone, copying the `cos-package-info.json` file from the VM, and using an SCAP-compliant tool like OpenSCAP."],["Vulnerabilities reported by the scanner can be resolved by updating to the latest COS image for the applicable milestone, as the feed lists vulnerabilities fixed in these images."]]],[]]
