OVAL 취약점 피드로 COS 이미지 스캔
COS는 지원되는 모든 COS 출시 버전에 대한 머신이 읽을 수 있는 구조화된 데이터 세트인 Open Vulnerability and Assessment Language(OVAL) 취약점 피드를 제공합니다. 피드를 사용하여 COS 시스템에 설치된 패키지의 보안 문제를 평가할 수 있습니다.
gs://cos-oval-vulnerability-feed에서 OVAL 피드에 액세스할 수 있으며,
피드는 이미지에 설치된 패키지를 나열하는 cos-package-info.json 파일에 따라 달라집니다. 이 파일은 VM 인스턴스의 /etc 디렉터리에 있습니다.
OVAL 피드를 사용하여 COS VM 인스턴스 스캔
OVAL 피드를 사용하여 모든 COS 인스턴스를 스캔할 수 있습니다. 예를 들어 COS-109 이미지를 실행하는 인스턴스를 스캔하려는 경우를 가정해 보겠습니다.
인스턴스의 OVAL 피드를 다운로드합니다. 올바른 마일스톤을 선택해야 합니다.
현재 예시의 경우 109입니다.
gcloud storage cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .
다운로드한 OVAL 피드를 추출합니다.
tar xf cos-109.oval.xml.tar.gz
VM 인스턴스(이 경우 my-cos-instance)에서 cos-package-info.json을 복사합니다.
gcloud compute scp my-cos-instance:/etc/cos-package-info.json .
OVAL 피드를 처리할 수 있는 원하는 보안 콘텐츠 자동화 프로토콜(SCAP) 규정 준수 도구를 사용합니다. 여기에서는 OpenSCAP을 사용합니다.
oscap oval eval --report report.html cos-109.oval.xml
cos-package-info.json 파일과 COS OVAL 피드는 같은 디렉터리에 있어야 합니다. 그렇지 않으면 COS OVAL 피드 파일에서 cos-package-info.json 경로를 업데이트합니다.
스캐너에서 보고한 취약점을 해결하는 방법
피드에는 최신 COS 이미지에서 수정된 모든 취약점이 나열됩니다. 따라서 특정 마일스톤의 최신 COS 이미지로 업데이트하여 시스템의 스캐너가 보고한 모든 미해결 취약점을 해결할 수 있습니다.
달리 명시되지 않는 한 이 페이지의 콘텐츠에는 Creative Commons Attribution 4.0 라이선스에 따라 라이선스가 부여되며, 코드 샘플에는 Apache 2.0 라이선스에 따라 라이선스가 부여됩니다. 자세한 내용은 Google Developers 사이트 정책을 참조하세요. 자바는 Oracle 및/또는 Oracle 계열사의 등록 상표입니다.
최종 업데이트: 2025-08-08(UTC)
[[["이해하기 쉬움","easyToUnderstand","thumb-up"],["문제가 해결됨","solvedMyProblem","thumb-up"],["기타","otherUp","thumb-up"]],[["필요한 정보가 없음","missingTheInformationINeed","thumb-down"],["너무 복잡함/단계 수가 너무 많음","tooComplicatedTooManySteps","thumb-down"],["오래됨","outOfDate","thumb-down"],["번역 문제","translationIssue","thumb-down"],["샘플/코드 문제","samplesCodeIssue","thumb-down"],["기타","otherDown","thumb-down"]],["최종 업데이트: 2025-08-08(UTC)"],[[["COS provides an Open Vulnerability and Assessment Language (OVAL) feed, a structured dataset for identifying security vulnerabilities in supported COS releases."],["The OVAL feed, accessible at `gs://cos-oval-vulnerability-feed`, relies on the `cos-package-info.json` file, which lists installed packages on an image and is located in the `/etc` directory."],["Scanning a COS instance involves downloading and extracting the OVAL feed for the specific milestone, copying the `cos-package-info.json` file from the VM, and using an SCAP-compliant tool like OpenSCAP."],["Vulnerabilities reported by the scanner can be resolved by updating to the latest COS image for the applicable milestone, as the feed lists vulnerabilities fixed in these images."]]],[]]
