7.9. コンテナーとコンテナーイメージの脆弱性スキャン

これらの手順を使用して、コンテナーまたはコンテナーイメージのセキュリティの脆弱性を見つけます。
oscap-docker コマンドラインユーティリティまたは atomic scan コマンドラインユーティリティを使用することで、コンテナーまたはコンテナーイメージのセキュリティの脆弱性を見つけることができます。
oscap-docker を使用することで、oscap プログラムを使用してコンテナーイメージとコンテナーをスキャンできます。
atomic scan では、OpenSCAP スキャン機能を使用して、システム上のコンテナーイメージとコンテナーをスキャンできます。既知の CVE 脆弱性と設定コンプライアンスをスキャンできます。さらに、コンテナーイメージを指定したポリシーに修正できます。

7.9.1. oscap-docker を使用した脆弱性のコンテナーイメージとコンテナーのスキャン

oscap-docker ユーティリティーを使用して、コンテナーとコンテナーイメージをスキャンできます。

注記

oscap-docker コマンドには root 権限が必要です。コンテナーの ID は 2 番目の引数です。

前提条件

  • openscap-containers パッケージがインストールされます。

手順

  1. コンテナーまたはコンテーナイメージの ID を見つけます。次に例を示します。
    ~]# docker images
    REPOSITORY                            TAG      IMAGE ID       CREATED       SIZE
    registry.access.redhat.com/ubi7/ubi   latest   096cae65a207   7 weeks ago   239 MB
  2. コンテナーまたはコンテナーイメージの脆弱性をスキャンし、結果を vulnerability.html ファイルに保存します:
    ~]# oscap-docker image-cve 096cae65a207 --report vulnerability.html

    重要

    コンテナーをスキャンするには、image-cve 引数を container-cve に置き換えます。

検証

  1. 選択したブラウザーで結果を確認します。次に例を示します。
    ~]$ firefox vulnerability.html &

関連情報

  • 詳細は、man ページの oscap-docker (8) およびoscap (8) を参照してください。

7.9.2. atomic scan を使用した脆弱性のコンテナーイメージとコンテナーのスキャン

atomic scan ユーティリティを使用すると、「CVE OVAL definitions released by Red Hat」で定義されている既知のセキュリティの脆弱性についてコンテナーとコンテナーイメージをスキャンできます。atomic scan コマンドには、以下の形式があります。
~]# atomic scan [OPTIONS] [ID]
ここで、ID は、スキャンするコンテナーイメージまたはコンテナーの ID です。

使用例

  • すべてのコンテナイメージをスキャンするには、--images ディレクティブを追加します。
  • すべてのコンテナをスキャンするには、--containers ディレクティブを追加します。
  • 両方のタイプをスキャンするには、--all ディレクティブを追加します。
  • 使用可能なすべてのコマンドラインオプションを一覧表示するには、atomic scan --help コマンドを使用します。
atomic scan コマンドのデフォルトのスキャンタイプは、CVE スキャン です。これを使用して、Red Hat が公開している CVE OVAL 定義で定義している既知のセキュリティー脆弱性の対象を確認するために使用します。

前提条件

  • OpenSCAP コンテナーイメージを Red Hat Container Catalog (RHCC) から atomic install rhel7/openscap コマンドを実行してダウンロードしてインストールしました。

手順

  1. 最新の OpenSCAP コンテナイメージがあることを確認して、定義が最新であることを確認します。
    ~]# atomic help registry.access.redhat.com/rhel7/openscap | grep version 

    重要

    Red Hat はコンテナーイメージを毎週更新します。常に最新の OpenSCAP コンテナーイメージ を使用して、CVE スキャンタイプで使用される OVAL 定義は最新です。
  2. いくつかの既知のセキュリティの脆弱性がある RHEL 7.2 コンテナーイメージをスキャンします。
    ~]# atomic scan registry.access.redhat.com/rhel7:7.2 
    docker run -t --rm -v /etc/localtime:/etc/localtime -v /run/atomic/2017-11-01-14-49-36-614281:/scanin -v /var/lib/atomic/openscap/2017-11-01-14-49-36-614281:/scanout:rw,Z -v /etc/oscapd:/etc/oscapd:ro registry.access.redhat.com/rhel7/openscap oscapd-evaluate scan --no-standard-compliance --targets chroots-in-dir:///scanin --output /scanout
    
    registry.access.redhat.com/rhel7:7.2 (98a88a8b722a718)
    
    The following issues were found:
    
     RHSA-2017:2832: nss security update (Important)
     Severity: Important
    	 RHSA URL: https://access.redhat.com/errata/RHSA-2017:2832
    	 RHSA ID: RHSA-2017:2832-01
    	 Associated CVEs:
    			 CVE ID: CVE-2017-7805
    			 CVE URL: https://access.redhat.com/security/cve/CVE-2017-7805
    ...

関連情報


このページには機械翻訳が使用されている場合があります (詳細はこちら)。