使用 Oval 安全漏洞動態饋給掃描 COS 映像檔

COS 提供開放式安全漏洞和評估語言 (OVAL) 漏洞動態饋給，這是所有支援的 COS 版本的結構化、機器可讀資料集。您可以使用這項動態饋給，評估 COS 系統上安裝的套件是否有安全性問題。

您可以前往 gs://cos-oval-vulnerability-feed 存取 OVAL 動態饋給。動態饋給會依附於 cos-package-info.json 檔案，後者會列出映像檔上已安裝的套件。這個檔案位於 VM 執行個體的 /etc 目錄中。

使用 Oval 動態饋給掃描 COS VM 執行個體

您可以使用 OVAL 動態饋給掃描任何 COS 執行個體。舉例來說，假設您要掃描執行 COS-109 映像檔的執行個體：

1. 下載執行個體的 Oval 動態饋給。請確認您選擇的里程碑正確無誤。在本例中，這項值為 109：

   gcloud storage cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .
   

2. 將下載的 Oval 動態饋給解壓縮：

   tar xf cos-109.oval.xml.tar.gz
   

3. 從 VM 執行個體複製 cos-package-info.json，在本例中為 my-cos-instance：

   gcloud compute scp my-cos-instance:/etc/cos-package-info.json .
   

4. 使用您偏好的安全內容自動化通訊協定 (SCAP) 相容工具，處理 Oval 動態饋給。在本例中，我們使用 OpenSCAP：

   oscap oval eval --report report.html cos-109.oval.xml
   

請注意，cos-package-info.json 檔案和 COS Oval 動態饋給必須位於相同目錄。如果不是，請更新 COS Oval 動態饋給檔案中的 cos-package-info.json 路徑。

如何修正掃描工具回報的安全漏洞

動態饋給會列出最新 COS 映像檔中修正的所有安全漏洞。因此，您可以更新至該特定里程碑的最新 COS 映像檔，修正系統上掃描器回報的所有公開漏洞。