Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
8.9. コンテナーおよびコンテナーイメージの脆弱性スキャン
これらの手順を使用して、コンテナーまたはコンテナーイメージのセキュリティーの脆弱性を検索します。
oscap-docker コマンドラインユーティリティーまたは atomic scan コマンドラインユーティリティーのいずれかを使用して、コンテナーまたはコンテナーイメージのセキュリティーの脆弱性を見つけることができます。
oscap-docker を使用すると、コンテナーイメージとコンテナーを oscap プログラムを使用してスキャンできます。
atomic scan を使用すると、システム上のコンテナーイメージとコンテナーを OpenSCAP スキャン機能を使用してスキャンできます。既知の CVE の脆弱性と設定コンプライアンスをスキャンできます。さらに、コンテナーイメージを指定されたポリシーに修正できます。
8.9.1. oscap-docker を使用したコンテナーイメージとコンテナーの脆弱性のスキャン
oscap-docker ユーティリティーを使用して、コンテナーおよびコンテナーイメージをスキャンできます。
注記
oscap-docker コマンドには root 権限が必要で、コンテナーの ID は 2 番目の引数になります。
前提条件
- openscap-containers パッケージがインストールされます。
手順
- コンテナーまたはコンテナーイメージの ID を取得します。以下に例を示します。
~]#
docker images REPOSITORY TAG IMAGE ID CREATED SIZE registry.access.redhat.com/ubi7/ubi latest 096cae65a207 7 weeks ago 239 MB - コンテナーまたはコンテナーイメージで脆弱性をスキャンし、結果を vulnerability.html ファイルに保存します。
~]#
oscap-docker image-cve 096cae65a207 --report vulnerability.html重要コンテナーをスキャンするには、引数image-cve
をcontainer-cve
に置き換えてください。
検証
- 任意のブラウザーで結果を調べます。以下に例を示します。
~]$
firefox vulnerability.html &
関連情報
- 詳細は、
oscap-docker(8)
およびoscap(8)
の man ページを参照してください。