6.10. 扫描容器和容器镜像以查找漏洞

使用这个流程查找容器或容器镜像中的安全漏洞。

前提条件

openscap-utils 和 bzip2 软件包已安装。

流程

下载系统的最新 RHSA OVAL 定义：

# wget -O - https://www.redhat.com/security/data/oval/v2/RHEL9/rhel-9.oval.xml.bz2 | bzip2 --decompress > rhel-9.oval.xml

获取容器或容器镜像的 ID，例如：

# podman images
REPOSITORY                            TAG      IMAGE ID       CREATED       SIZE
registry.access.redhat.com/ubi9/ubi   latest   096cae65a207   7 weeks ago   239 MB

扫描容器或容器镜像的漏洞，并将结果保存到 vulnerability.html 文件中：
```
# oscap-podman 096cae65a207 oval eval --report vulnerability.html rhel-9.oval.xml
```
请注意，oscap-podman 命令需要 root 特权，容器的 ID 是第一个参数。

验证

在您选择的浏览器中检查结果，例如：
```
$ firefox vulnerability.html &
```

其他资源

如需更多信息，请参阅 oscap-podman(8) 和 oscap(8) 手册页。

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务，以及可以信赖的内容，帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情，请参阅红帽博客.

關於紅帽

我们提供强化的解决方案，使企业能够更轻松地跨平台和环境（从核心数据中心到网络边缘）工作。

© 2024 Red Hat, Inc.