COS menyediakan feed kerentanan Open Vulnerability and Assessment Language (OVAL), yang merupakan set data terstruktur yang dapat dibaca mesin untuk semua rilis COS yang didukung. Anda dapat menggunakan feed untuk mengevaluasi paket yang diinstal di sistem COS untuk masalah keamanan.
Anda dapat mengakses feed OVAL di gs://cos-oval-vulnerability-feed.
Feed bergantung pada file cos-package-info.json, yang mencantumkan paket yang diinstal pada
image. File ini terletak di direktori /etc pada instance VM Anda.
Memindai instance VM COS dengan feed Oval
Anda dapat menggunakan feed OVAL untuk memindai instance COS apa pun. Misalnya, Anda ingin memindai
instance yang menjalankan image COS-109:
Download feed Oval untuk instance Anda. Pastikan Anda memilih tonggak pencapaian yang benar. Untuk contoh saat ini, nilainya adalah 109:
gcloud storage cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .Ekstrak feed Oval yang didownload:
tar xf cos-109.oval.xml.tar.gzSalin
cos-package-info.jsondari instance VM Anda, dalam hal inimy-cos-instance:gcloud compute scp my-cos-instance:/etc/cos-package-info.json .Gunakan alat yang sesuai dengan Security Content Automation Protocol (SCAP) pilihan Anda yang dapat memproses feed Oval. Dalam hal ini, kita menggunakan
OpenSCAP:oscap oval eval --report report.html cos-109.oval.xml
Perhatikan bahwa file cos-package-info.json dan feed COS Oval harus berada di direktori yang sama. Jika tidak, perbarui jalur cos-package-info.json di file feed COS Oval.
Cara memperbaiki kerentanan yang dilaporkan oleh pemindai
Feed ini mencantumkan semua kerentanan yang diperbaiki dalam image COS terbaru. Dengan demikian, Anda dapat memperbaiki semua kerentanan terbuka yang dilaporkan oleh pemindai di sistem dengan memperbarui ke image COS terbaru untuk tonggak pencapaian tertentu tersebut.