O COS fornece um feed de vulnerabilidade de linguagem de avaliação aberta (OVAL, na sigla em inglês), que é um conjunto de dados estruturado e legível por máquina para todas as versões compatíveis do COS. Você pode usar o para avaliar se há problemas de segurança nos pacotes instalados em um sistema COS.
Você pode acessar o feed OVAL em gs://cos-oval-vulnerability-feed.
O feed depende do arquivo cos-package-info.json, que lista os pacotes instalados em uma
imagem. Esse arquivo está localizado no diretório /etc nas instâncias de VM.
Como verificar instâncias de VM do COS com feed oval
Você pode usar o feed OVAL para fazer a varredura de qualquer instância do COS. Por exemplo, suponha que você queira verificar
uma instância executando a imagem COS-109:
Faça o download do feed Oval para sua instância. Escolha o marco correto. No exemplo atual, o valor é 109:
gcloud storage cp gs://cos-oval-vulnerability-feed/cos-109.oval.xml.tar.gz .Extraia o feed oval transferido por download:
tar xf cos-109.oval.xml.tar.gzCopie
cos-package-info.jsonda sua instância de VM. Neste caso,my-cos-instance:gcloud compute scp my-cos-instance:/etc/cos-package-info.json .Use sua ferramenta preferida compatível com o Protocolo de Automação de Conteúdo de Segurança (SCAP, na sigla em inglês) que possa processar o feed Oval. Neste caso, usamos
OpenSCAP:oscap oval eval --report report.html cos-109.oval.xml
O arquivo cos-package-info.json e o feed Oval do COS precisam estar no mesmo
diretório. Caso contrário, atualize o caminho de cos-package-info.json no arquivo de feed oval do COS.
Como corrigir vulnerabilidades informadas pelo scanner
O feed lista todas as vulnerabilidades corrigidas na imagem mais recente do COS. Assim, é possível corrigir todas as vulnerabilidades abertas relatadas pelo scanner no seu sistema fazendo a atualização para a imagem mais recente do COS para esse marco específico.