サポートコンソール開発者トライアルの開始お問い合わせ

8.9. コンテナーおよびコンテナーイメージの脆弱性スキャン

これらの手順を使用して、コンテナーまたはコンテナーイメージのセキュリティーの脆弱性を検索します。
oscap-docker コマンドラインユーティリティーまたは atomic scan コマンドラインユーティリティーのいずれかを使用して、コンテナーまたはコンテナーイメージのセキュリティー脆弱性を見つけることができます。
oscap-docker を使用すると、oscap プログラムを使用してコンテナーイメージとコンテナーをスキャンできます。
atomic scan を使用すると、OpenSCAP スキャン機能を使用して、システム上のコンテナーイメージとコンテナーをスキャンできます。既知の CVE の脆弱性と設定コンプライアンスをスキャンできます。さらに、コンテナーイメージを指定されたポリシーに修正できます。

8.9.1. oscap-dockerを使用したコンテナーイメージとコンテナーの脆弱性のスキャン

oscap-docker ユーティリティーを使用して、コンテナーおよびコンテナーイメージをスキャンできます。
注記
oscap-docker コマンドには root 権限が必要で、コンテナーの ID は 2 つ目の引数になります。

前提条件

  • openscap-containers パッケージがインストールされます。

手順

  1. コンテナーまたはコンテナーイメージの ID を取得します。以下に例を示します。 
    ~]# docker images
REPOSITORY                            TAG      IMAGE ID       CREATED       SIZE
registry.access.redhat.com/ubi7/ubi   latest   096cae65a207   7 weeks ago   239 MB
  2. コンテナーまたはコンテナーイメージで脆弱性をスキャンし、結果を vulnerability.html ファイルに保存します。 
    ~]# oscap-docker image-cve 096cae65a207 --report vulnerability.html
    重要
    コンテナーをスキャンするには、引数 image-cvecontainer-cve に置き換えてください。

検証

  1. 任意のブラウザーで結果を調べます。以下に例を示します。 
    ~]$ firefox vulnerability.html &

関連情報

  • 詳細は、oscap-docker (8)および oscap ( 8) の man ページを参照してください。

8.9.2. atomic scanを使用したコンテナーイメージとコンテナーの脆弱性のスキャン

atomic scan ユーティリティーを使用すると、Red Hat がリリースする CVE OVAL 定義で定義されている既知のセキュリティー脆弱性について コンテナーおよびコンテナーイメージをスキャンできます。atomic scan コマンドの形式は次のとおりです。 
~]# atomic scan [OPTIONS] [ID]
ここで、ID は、スキャンするコンテナーイメージまたはコンテナーの ID になります。
警告
アトミックスキャン 機能は非推奨となり、OpenSCAP コンテナーイメージは新しい脆弱性に対して更新されなくなりました。したがって、脆弱性スキャンの目的で oscap-docker ユーティリティーを使用することが推奨されます。

ユースケース

  • すべてのコンテナーイメージをスキャンするには、--images ディレクティブを使用します。
  • すべてのコンテナーをスキャンするには、--containers ディレクティブを使用します。
  • 両方のタイプをスキャンするには、--all ディレクティブを使用します。
  • 利用可能なすべてのコマンドラインオプションを一覧表示するには、atomic scan --help コマンドを使用します。
atomic scan コマンドのデフォルトのスキャンタイプは CVE scan です。Red Hat がリリースする CVE OVAL 定義 で定義されている既知のセキュリティー脆弱性のターゲットをチェックするために使用します。

前提条件

  • atomic install rhel7/openscap コマンドを使用して、Red Hat Container Catalog (RHCC) から OpenSCAP コンテナーイメージをダウンロードしてインストール している。

手順

  1. 最新の OpenSCAP コンテナーイメージがあることを確認し、定義が最新であることを確認します。 
    ~]# atomic help registry.access.redhat.com/rhel7/openscap | grep version
  2. いくつかの既知のセキュリティー脆弱性がある RHEL 7.2 コンテナーイメージをスキャンします。 
    ~]# atomic scan registry.access.redhat.com/rhel7:7.2 
docker run -t --rm -v /etc/localtime:/etc/localtime -v /run/atomic/2017-11-01-14-49-36-614281:/scanin -v /var/lib/atomic/openscap/2017-11-01-14-49-36-614281:/scanout:rw,Z -v /etc/oscapd:/etc/oscapd:ro registry.access.redhat.com/rhel7/openscap oscapd-evaluate scan --no-standard-compliance --targets chroots-in-dir:///scanin --output /scanout

registry.access.redhat.com/rhel7:7.2 (98a88a8b722a718)

The following issues were found:

 RHSA-2017:2832: nss security update (Important)
 Severity: Important
	 RHSA URL: https://access.redhat.com/errata/RHSA-2017:2832
	 RHSA ID: RHSA-2017:2832-01
	 Associated CVEs:
			 CVE ID: CVE-2017-7805
			 CVE URL: https://access.redhat.com/security/cve/CVE-2017-7805
...

関連情報

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.