6.10. Digitalização de imagens de contêineres e recipientes em busca de vulnerabilidades
Use este procedimento para encontrar vulnerabilidades de segurança em um contêiner ou em uma imagem de contêiner.
O comando oscap-podman está disponível em RHEL 8.2. Para o RHEL 8.1 e 8.0, use a alternativa descrita no artigo Usando OpenSCAP para escanear recipientes no artigo da Base de Conhecimento RHEL 8.
Pré-requisitos
-
O pacote
openscap-utilsestá instalado.
Procedimento
Faça o download das últimas definições da RHSA OVAL para seu sistema:
# wget -O - https://www.redhat.com/security/data/oval/v2/RHEL8/rhel-8.oval.xml.bz2 | bzip2 --decompress > rhel-8.oval.xmlObter a identificação de um recipiente ou uma imagem de um recipiente, por exemplo:
# podman images REPOSITORY TAG IMAGE ID CREATED SIZE registry.access.redhat.com/ubi8/ubi latest 096cae65a207 7 weeks ago 239 MBDigitalize o recipiente ou a imagem do recipiente em busca de vulnerabilidades e salve os resultados no arquivo vulnerability.html:
# oscap-podman 096cae65a207 oval eval --report vulnerability.html rhel-8.oval.xmlNote que o comando
oscap-podmanrequer privilégios de raiz, e a identificação de um recipiente é o primeiro argumento.
Etapas de verificação
Verifique os resultados em um navegador à sua escolha, por exemplo:
$ firefox vulnerability.html &
Recursos adicionais
-
Para mais informações, consulte as páginas de manual
oscap-podman(8)eoscap(8).
