Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

8.9. コンテナーおよびコンテナーイメージの脆弱性スキャン

これらの手順を使用して、コンテナーまたはコンテナーイメージのセキュリティーの脆弱性を検索します。
oscap-docker コマンドラインユーティリティーまたは atomic scan コマンドラインユーティリティーのいずれかを使用して、コンテナーまたはコンテナーイメージのセキュリティーの脆弱性を見つけることができます。
oscap-docker を使用すると、コンテナーイメージとコンテナーを oscap プログラムを使用してスキャンできます。
atomic scan を使用すると、システム上のコンテナーイメージとコンテナーを OpenSCAP スキャン機能を使用してスキャンできます。既知の CVE の脆弱性と設定コンプライアンスをスキャンできます。さらに、コンテナーイメージを指定されたポリシーに修正できます。

8.9.1. oscap-docker を使用したコンテナーイメージとコンテナーの脆弱性のスキャン

oscap-docker ユーティリティーを使用して、コンテナーおよびコンテナーイメージをスキャンできます。
注記
oscap-docker コマンドには root 権限が必要で、コンテナーの ID は 2 番目の引数になります。

前提条件

  • openscap-containers パッケージがインストールされます。

手順

  1. コンテナーまたはコンテナーイメージの ID を取得します。以下に例を示します。
    ~]# docker images
    REPOSITORY                            TAG      IMAGE ID       CREATED       SIZE
    registry.access.redhat.com/ubi7/ubi   latest   096cae65a207   7 weeks ago   239 MB
    
  2. コンテナーまたはコンテナーイメージで脆弱性をスキャンし、結果を vulnerability.html ファイルに保存します。
    ~]# oscap-docker image-cve 096cae65a207 --report vulnerability.html
    重要
    コンテナーをスキャンするには、引数 image-cvecontainer-cve に置き換えてください。

検証

  1. 任意のブラウザーで結果を調べます。以下に例を示します。
    ~]$ firefox vulnerability.html &

関連情報

  • 詳細は、oscap-docker(8) および oscap(8) の man ページを参照してください。