7.9. コンテナーとコンテナーイメージの脆弱性スキャン

これらの手順を使用して、コンテナーまたはコンテナーイメージのセキュリティの脆弱性を見つけます。

oscap-docker コマンドラインユーティリティまたは atomic scan コマンドラインユーティリティを使用することで、コンテナーまたはコンテナーイメージのセキュリティの脆弱性を見つけることができます。

oscap-docker を使用することで、oscap プログラムを使用してコンテナーイメージとコンテナーをスキャンできます。

atomic scan では、OpenSCAP スキャン機能を使用して、システム上のコンテナーイメージとコンテナーをスキャンできます。既知の CVE 脆弱性と設定コンプライアンスをスキャンできます。さらに、コンテナーイメージを指定したポリシーに修正できます。

7.9.1. `oscap-docker` を使用した脆弱性のコンテナーイメージとコンテナーのスキャン

oscap-docker ユーティリティーを使用して、コンテナーとコンテナーイメージをスキャンできます。

注記

oscap-docker コマンドには root 権限が必要です。コンテナーの ID は 2 番目の引数です。

前提条件

openscap-containers パッケージがインストールされます。

手順

コンテナーまたはコンテーナイメージの ID を見つけます。次に例を示します。

~]# docker images
REPOSITORY                            TAG      IMAGE ID       CREATED       SIZE
registry.access.redhat.com/ubi7/ubi   latest   096cae65a207   7 weeks ago   239 MB

コンテナーまたはコンテナーイメージの脆弱性をスキャンし、結果を vulnerability.html ファイルに保存します:
```
~]# oscap-docker image-cve 096cae65a207 --report vulnerability.html
```
重要
コンテナーをスキャンするには、image-cve 引数を container-cve に置き換えます。

検証

選択したブラウザーで結果を確認します。次に例を示します。
```
~]$ firefox vulnerability.html &
```

関連情報

詳細は、man ページの oscap-docker (8) およびoscap (8) を参照してください。

7.9.2. `atomic scan` を使用した脆弱性のコンテナーイメージとコンテナーのスキャン

atomic scan ユーティリティを使用すると、「CVE OVAL definitions released by Red Hat」で定義されている既知のセキュリティの脆弱性についてコンテナーとコンテナーイメージをスキャンできます。atomic scan コマンドには、以下の形式があります。

~]# atomic scan [OPTIONS] [ID]

ここで、ID は、スキャンするコンテナーイメージまたはコンテナーの ID です。

使用例

すべてのコンテナイメージをスキャンするには、--images ディレクティブを追加します。
すべてのコンテナをスキャンするには、--containers ディレクティブを追加します。
両方のタイプをスキャンするには、--all ディレクティブを追加します。
使用可能なすべてのコマンドラインオプションを一覧表示するには、atomic scan --help コマンドを使用します。

atomic scan コマンドのデフォルトのスキャンタイプは、CVE スキャン です。これを使用して、Red Hat が公開している CVE OVAL 定義で定義している既知のセキュリティー脆弱性の対象を確認するために使用します。

前提条件

OpenSCAP コンテナーイメージを Red Hat Container Catalog (RHCC) から atomic install rhel7/openscap コマンドを実行してダウンロードしてインストールしました。

手順

最新の OpenSCAP コンテナイメージがあることを確認して、定義が最新であることを確認します。
```
~]# atomic help registry.access.redhat.com/rhel7/openscap | grep version 
```
重要
Red＆nbsp;Hat はコンテナーイメージを毎週更新します。常に最新の OpenSCAP コンテナーイメージを使用して、CVE スキャンタイプで使用される OVAL 定義は最新です。

いくつかの既知のセキュリティの脆弱性がある RHEL 7.2 コンテナーイメージをスキャンします。

~]# atomic scan registry.access.redhat.com/rhel7:7.2 
docker run -t --rm -v /etc/localtime:/etc/localtime -v /run/atomic/2017-11-01-14-49-36-614281:/scanin -v /var/lib/atomic/openscap/2017-11-01-14-49-36-614281:/scanout:rw,Z -v /etc/oscapd:/etc/oscapd:ro registry.access.redhat.com/rhel7/openscap oscapd-evaluate scan --no-standard-compliance --targets chroots-in-dir:///scanin --output /scanout

registry.access.redhat.com/rhel7:7.2 (98a88a8b722a718)

The following issues were found:

 RHSA-2017:2832: nss security update (Important)
 Severity: Important
	 RHSA URL: https://access.redhat.com/errata/RHSA-2017:2832
	 RHSA ID: RHSA-2017:2832-01
	 Associated CVEs:
			 CVE ID: CVE-2017-7805
			 CVE URL: https://access.redhat.com/security/cve/CVE-2017-7805
...

関連情報

Red＆nbsp; Hat Enterprise Linux Atomic Host の製品ドキュメントには、atomic コマンドの使用法とコンテナーの詳細な説明が含まれます。
Red＆nbsp; Hat カスタマーポータルでは、Atomic コマンドラインインターフェース (CLI) のガイドを参照できます。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。

Log in to Your Red Hat Account

Red Hat Account

Customer Portal

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Services

Tools

Red Hat Insights

Red Hat Product Security Center

Security Updates

Resources

Customer Portal Community

Customer Events

Stories

7.9. コンテナーとコンテナーイメージの脆弱性スキャン

7.9.1. `oscap-docker` を使用した脆弱性のコンテナーイメージとコンテナーのスキャン

7.9.2. `atomic scan` を使用した脆弱性のコンテナーイメージとコンテナーのスキャン

7.9. コンテナーとコンテナーイメージの脆弱性スキャン

7.9.1. oscap-docker を使用した脆弱性のコンテナーイメージとコンテナーのスキャン

7.9.2. atomic scan を使用した脆弱性のコンテナーイメージとコンテナーのスキャン

7.9.1. `oscap-docker` を使用した脆弱性のコンテナーイメージとコンテナーのスキャン

7.9.2. `atomic scan` を使用した脆弱性のコンテナーイメージとコンテナーのスキャン