8.9. 컨테이너 및 컨테이너 이미지에서 취약점 스캔
이 절차를 사용하여 컨테이너 또는 컨테이너 이미지의 보안 취약점을 찾습니다.
oscap-docker 명령줄 유틸리티 또는 atomic 검사 명령줄 유틸리티를 사용하여 컨테이너 또는 컨테이너 이미지에서 보안 취약점을 찾을 수 있습니다.
oscap-docker 를 사용하면 oscap 프로그램을 사용하여 컨테이너 이미지 및 컨테이너를 스캔할 수 있습니다.
atomic 스캔 기능을 사용하면 OpenSCAP 스캔 기능을 사용하여 시스템에서 컨테이너 이미지 및 컨테이너를 스캔할 수 있습니다. 알려진 CVE 취약점 및 구성 준수 여부를 스캔할 수 있습니다. 컨테이너 이미지를 지정된 정책에 수정할 수도 있습니다.
8.9.1. oscap-docker를 사용하여 컨테이너 이미지 및 컨테이너 스캔
oscap-docker 유틸리티를 사용하여 컨테이너 및 컨테이너 이미지를 스캔할 수 있습니다.
참고
oscap-docker 명령을 실행하려면 루트 권한이 필요하며 컨테이너 ID는 두 번째 인수입니다.
사전 요구 사항
- openscap-containers 패키지가 설치되어 있습니다.
절차
- 컨테이너 또는 컨테이너 이미지의 ID를 찾습니다. 예를 들면 다음과 같습니다.
~]#docker images REPOSITORY TAG IMAGE ID CREATED SIZE registry.access.redhat.com/ubi7/ubi latest 096cae65a207 7 weeks ago 239 MB - 컨테이너 또는 컨테이너 이미지에서 취약점을 검사하고 결과를 vulnerability.html 파일에 저장합니다.
~]#oscap-docker image-cve 096cae65a207 --report vulnerability.html중요컨테이너를 검사하려면image-cve인수를container-cve로 교체합니다.
검증
- 선택한 브라우저에서 결과를 검사합니다. 예를 들면 다음과 같습니다.
~]$firefox vulnerability.html &
추가 리소스
- 자세한 내용은
oscap-docker(8)및oscap(8)매뉴얼 페이지를 참조하십시오.
