Show Table of Contents
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
8.9. コンテナーおよびコンテナーイメージの脆弱性スキャン
以下の手順を使用して、コンテナーまたはコンテナーイメージのセキュリティー脆弱性を検索します。
oscap-docker コマンドラインユーティリティーまたは atomic scan コマンドラインユーティリティーのいずれかを使用して、コンテナーまたはコンテナーイメージのセキュリティー脆弱性を見つけることができます。
oscap-docker を使用すると、oscap プログラムを使用してコンテナーイメージとコンテナーをスキャンできます。
atomic scan では、OpenSCAP スキャン機能を使用して、システム上のコンテナーイメージとコンテナーをスキャンできます。既知の CVE 脆弱性や設定コンプライアンスのスキャンが可能です。また、コンテナーイメージを指定されたポリシーに修正することもできます。
8.9.1. コンテナーイメージおよびコンテナーの脆弱性スキャン oscap-docker
oscap-docker ユーティリティーを使用してコンテナーおよびコンテナーイメージをスキャンできます。
注記
oscap-docker コマンドには root 権限が必要で、コンテナーの ID は 2 番目の引数になります。
前提条件
- openscap-containers パッケージがインストールされている。
手順
- コンテナーまたはコンテナーイメージの ID を検索します。以下に例を示します。
~]#docker images REPOSITORY TAG IMAGE ID CREATED SIZE registry.access.redhat.com/ubi7/ubi latest 096cae65a207 7 weeks ago 239 MB - コンテナーまたはコンテナーイメージで脆弱性をスキャンし、結果を vulnerability.html ファイルに保存します。
~]#oscap-docker image-cve 096cae65a207 --report vulnerability.html重要コンテナーをスキャンするには、image-cve引数をcontainer-cveに置き換えます。
検証
- 結果をブラウザーで確認します。以下に例を示します。
~]$firefox vulnerability.html &
関連情報
- 詳細は、man ページの
oscap-docker(8)およびoscap(8)を参照してください。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。