Red Hat Training

A Red Hat training course is available for RHEL 8

6.10. Escaneo de vulnerabilidades en contenedores e imágenes de contenedores

Utilice este procedimiento para encontrar vulnerabilidades de seguridad en un contenedor o una imagen de contenedor.

Nota

El comando oscap-podman está disponible a partir de RHEL 8.2. Para RHEL 8.1 y 8.0, utilice la solución descrita en el artículo de la base de conocimientos Using OpenSCAP for scanning containers in RHEL 8.

Requisitos previos

  • El paquete openscap-utils está instalado.

Procedimiento

  1. Descargue las últimas definiciones de RHSA OVAL para su sistema: 

    # wget -O - https://www.redhat.com/security/data/oval/v2/RHEL8/rhel-8.oval.xml.bz2 | bzip2 --decompress > rhel-8.oval.xml

  2. Obtiene el ID de un contenedor o de una imagen de contenedor, por ejemplo: 

    # podman images
REPOSITORY                            TAG      IMAGE ID       CREATED       SIZE
registry.access.redhat.com/ubi8/ubi   latest   096cae65a207   7 weeks ago   239 MB

  3. Analice el contenedor o la imagen del contenedor en busca de vulnerabilidades y guarde los resultados en el archivo vulnerability.html: 

    # oscap-podman 096cae65a207 oval eval --report vulnerability.html rhel-8.oval.xml

    Tenga en cuenta que el comando oscap-podman requiere privilegios de root, y el ID de un contenedor es el primer argumento.

Pasos de verificación

  1. Compruebe los resultados en un navegador de su elección, por ejemplo: 

    $ firefox vulnerability.html &

Recursos adicionales

  • Para más información, consulte las páginas de manual oscap-podman(8) y oscap(8).