Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

8.9. コンテナーおよびコンテナーイメージの脆弱性スキャン

以下の手順を使用して、コンテナーまたはコンテナーイメージのセキュリティー脆弱性を検索します。
oscap-docker コマンドラインユーティリティーまたは atomic scan コマンドラインユーティリティーのいずれかを使用して、コンテナーまたはコンテナーイメージのセキュリティー脆弱性を見つけることができます。
oscap-docker を使用すると、oscap プログラムを使用してコンテナーイメージとコンテナーをスキャンできます。
atomic scan では、OpenSCAP スキャン機能を使用して、システム上のコンテナーイメージとコンテナーをスキャンできます。既知の CVE 脆弱性や設定コンプライアンスのスキャンが可能です。また、コンテナーイメージを指定されたポリシーに修正することもできます。

8.9.1. コンテナーイメージおよびコンテナーの脆弱性スキャン oscap-docker

oscap-docker ユーティリティーを使用してコンテナーおよびコンテナーイメージをスキャンできます。
注記
oscap-docker コマンドには root 権限が必要で、コンテナーの ID は 2 番目の引数になります。

前提条件

  • openscap-containers パッケージがインストールされている。

手順

  1. コンテナーまたはコンテナーイメージの ID を検索します。以下に例を示します。
    ~]# docker images
    REPOSITORY                            TAG      IMAGE ID       CREATED       SIZE
    registry.access.redhat.com/ubi7/ubi   latest   096cae65a207   7 weeks ago   239 MB
    
  2. コンテナーまたはコンテナーイメージで脆弱性をスキャンし、結果を vulnerability.html ファイルに保存します。
    ~]# oscap-docker image-cve 096cae65a207 --report vulnerability.html
    重要
    コンテナーをスキャンするには、image-cve 引数を container-cve に置き換えます。

検証

  1. 結果をブラウザーで確認します。以下に例を示します。
    ~]$ firefox vulnerability.html &

関連情報

  • 詳細は、man ページの oscap-docker(8) および oscap(8) を参照してください。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。