6.10. 扫描容器和容器镜像以查找漏洞
使用这个流程查找容器或容器镜像中的安全漏洞。
注意
oscap-podman
命令从 RHEL 8.2 开始提供。对于RHEL 8.1和8.0,请参阅 Using OpenSCAP for scanning containers in RHEL 8。
先决条件
-
openscap-utils
和bzip2
软件包已安装。
流程
下载系统的最新 RHSA OVAL 定义:
# wget -O - https://www.redhat.com/security/data/oval/v2/RHEL8/rhel-8.oval.xml.bz2 | bzip2 --decompress > rhel-8.oval.xml
获取容器或容器镜像的 ID,例如:
# podman images REPOSITORY TAG IMAGE ID CREATED SIZE registry.access.redhat.com/ubi8/ubi latest 096cae65a207 7 weeks ago 239 MB
扫描容器或容器镜像的漏洞,并将结果保存到 vulnerability.html 文件中:
# oscap-podman 096cae65a207 oval eval --report vulnerability.html rhel-8.oval.xml
请注意,
oscap-podman
命令需要 root 特权,容器的 ID 是第一个参数。
验证
在您选择的浏览器中检查结果,例如:
$ firefox vulnerability.html &
其它资源
-
如需更多信息,请参阅
oscap-podman(8)
和oscap(8)
手册页。