Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

8.9. コンテナーおよびコンテナーイメージの脆弱性スキャン

これらの手順を使用して、コンテナーまたはコンテナーイメージのセキュリティーの脆弱性を検索します。
oscap-docker コマンドラインユーティリティーまたは atomic scan コマンドラインユーティリティーのいずれかを使用して、コンテナーまたはコンテナーイメージのセキュリティー脆弱性を見つけることができます。
oscap-docker を使用すると、oscap プログラムを使用してコンテナーイメージとコンテナーをスキャンできます。
atomic scan を使用すると、OpenSCAP スキャン機能を使用して、システム上のコンテナーイメージとコンテナーをスキャンできます。既知の CVE の脆弱性と設定コンプライアンスをスキャンできます。さらに、コンテナーイメージを指定されたポリシーに修正できます。

8.9.1. oscap-dockerを使用したコンテナーイメージとコンテナーの脆弱性のスキャン

oscap-docker ユーティリティーを使用して、コンテナーおよびコンテナーイメージをスキャンできます。
注記
oscap-docker コマンドには root 権限が必要で、コンテナーの ID は 2 つ目の引数になります。

前提条件

  • openscap-containers パッケージがインストールされます。

手順

  1. コンテナーまたはコンテナーイメージの ID を取得します。以下に例を示します。
    ~]# docker images
    REPOSITORY                            TAG      IMAGE ID       CREATED       SIZE
    registry.access.redhat.com/ubi7/ubi   latest   096cae65a207   7 weeks ago   239 MB
    
  2. コンテナーまたはコンテナーイメージで脆弱性をスキャンし、結果を vulnerability.html ファイルに保存します。
    ~]# oscap-docker image-cve 096cae65a207 --report vulnerability.html
    重要
    コンテナーをスキャンするには、引数 image-cvecontainer-cve に置き換えてください。

検証

  1. 任意のブラウザーで結果を調べます。以下に例を示します。
    ~]$ firefox vulnerability.html &

関連情報

  • 詳細は、oscap-docker (8)および oscap ( 8) の man ページを参照してください。

8.9.2. atomic scanを使用したコンテナーイメージとコンテナーの脆弱性のスキャン

atomic scan ユーティリティーを使用すると、Red Hat がリリースする CVE OVAL 定義で定義されている既知のセキュリティー脆弱性について コンテナーおよびコンテナーイメージをスキャンできます。atomic scan コマンドの形式は次のとおりです。
~]# atomic scan [OPTIONS] [ID]
ここで、ID は、スキャンするコンテナーイメージまたはコンテナーの ID になります。
警告
アトミックスキャン 機能は非推奨となり、OpenSCAP コンテナーイメージは新しい脆弱性に対して更新されなくなりました。したがって、脆弱性スキャンの目的で oscap-docker ユーティリティーを使用することが推奨されます。

ユースケース

  • すべてのコンテナーイメージをスキャンするには、--images ディレクティブを使用します。
  • すべてのコンテナーをスキャンするには、--containers ディレクティブを使用します。
  • 両方のタイプをスキャンするには、--all ディレクティブを使用します。
  • 利用可能なすべてのコマンドラインオプションを一覧表示するには、atomic scan --help コマンドを使用します。
atomic scan コマンドのデフォルトのスキャンタイプは CVE scan です。Red Hat がリリースする CVE OVAL 定義 で定義されている既知のセキュリティー脆弱性のターゲットをチェックするために使用します。

前提条件

  • atomic install rhel7/openscap コマンドを使用して、Red Hat Container Catalog (RHCC) から OpenSCAP コンテナーイメージをダウンロードしてインストール している。

手順

  1. 最新の OpenSCAP コンテナーイメージがあることを確認し、定義が最新であることを確認します。
    ~]# atomic help registry.access.redhat.com/rhel7/openscap | grep version 
  2. いくつかの既知のセキュリティー脆弱性がある RHEL 7.2 コンテナーイメージをスキャンします。
    ~]# atomic scan registry.access.redhat.com/rhel7:7.2 
    docker run -t --rm -v /etc/localtime:/etc/localtime -v /run/atomic/2017-11-01-14-49-36-614281:/scanin -v /var/lib/atomic/openscap/2017-11-01-14-49-36-614281:/scanout:rw,Z -v /etc/oscapd:/etc/oscapd:ro registry.access.redhat.com/rhel7/openscap oscapd-evaluate scan --no-standard-compliance --targets chroots-in-dir:///scanin --output /scanout
    
    registry.access.redhat.com/rhel7:7.2 (98a88a8b722a718)
    
    The following issues were found:
    
     RHSA-2017:2832: nss security update (Important)
     Severity: Important
    	 RHSA URL: https://access.redhat.com/errata/RHSA-2017:2832
    	 RHSA ID: RHSA-2017:2832-01
    	 Associated CVEs:
    			 CVE ID: CVE-2017-7805
    			 CVE URL: https://access.redhat.com/security/cve/CVE-2017-7805
    ...

関連情報