OpenSCAP: SCAP(Security Content Automation Protocol)安全内容自动化协议
开源的自动化扫描,基准核查、报告和自动修复的工具
包括工具(包括配置安全检查和漏洞扫描)和基准库
准备环境
安装scap扫描工具。
$ yum install -y openscap-utils scap-security-guide wget
安装容器工具
$ yum install -y podman buildah
安装其它工具
$ yum install -y wget
扫描容器镜像CVE漏洞
下载OVAL文件
$ wget -O - https://www.redhat.com/security/data/oval/v2/RHEL8/rhel-8.oval.xml.bz2 | bzip2 --decompress > rhel-8.oval.xml
扫描容器镜像
下载2个容器镜像“registry.access.redhat.com/ubi8:latest“和”registry.access.redhat.com/ubi8:8.0-126“
$ TAG-NEW=latest$ TAG-OLD=8.0-126$ podman pull registry.access.redhat.com/ubi8:${TAG-NEW}$ podman pull registry.access.redhat.com/ubi8:${TAG-OLD}
查看下载到本地的容器镜像
$ podman images ubi8
根据获得的OVAL文件扫描指定的容器镜像ID。
$ ID=$(podman image inspect ubi8:${TAG-NEW} | jq -r .[0].Id)$ oscap-podman ${ID} oval eval --report /tmp/oval-report-ubi8:${TAG-NEW}.html rhel-8.oval.xml
$ ID=$(podman image inspect ubi8:${TAG-OLD} | jq -r .[0].Id)$ oscap-podman ${ID} oval eval --report /tmp/oval-report-ubi8:${TAG-OLD}.html rhel-8.oval.xml
查看容器镜像扫描结果
查看扫描结果文件。
$ ll /tmp/oval-report-ubi8*
原文链接:https://blog.csdn.net/weixin_43902588/article/details/117793517
参考:https://www.youtube.com/watch?v=nQmIcK1vvYc
文章转载自羿起小憩,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
