Menu Close

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

8.9.2. atomic scan を使用したコンテナーイメージとコンテナーの脆弱性スキャン

atomic scan ユーティリティーを使用すると、Red Hat がリリースする CVE OVAL 定義 で定義されている既知のセキュリティーの脆弱性に対して、コンテナーとコンテナーイメージをスキャンできます。atomic scan コマンドには、以下の形式があります。
~]# atomic scan [OPTIONS] [ID]
ここで、ID は、スキャンするコンテナーイメージまたはコンテナーの ID になります。

ユースケース

  • すべてのコンテナーイメージをスキャンするには、--images ディレクティブを使用します。
  • すべてのコンテナーをスキャンするには、--containers ディレクティブを使用します。
  • 両方のタイプをスキャンするには、--all ディレクティブを使用します。
  • 利用可能なすべてのコマンドラインオプションを一覧表示するには、atomic scan --help コマンドを使用します。
atomic scan コマンドのデフォルトのスキャンタイプは CVE scan です。Red Hat がリリースする CVE OVAL 定義 で定義されている既知のセキュリティー脆弱性のターゲットをチェックするために使用します。

前提条件

  • OpenSCAP コンテナーイメージを Red Hat Container Catalog (RHCC) から atomic install rhel7/openscap コマンドを実行してダウンロードしてインストールしました。

手順

  1. 最新の OpenSCAP コンテナーイメージがあることを確認し、定義が最新であることを確認します。
    ~]# atomic help registry.access.redhat.com/rhel7/openscap | grep version 
    重要
    Red Hat はコンテナーイメージを毎週更新しています。常に最新の OpenSCAP コンテナーイメージ を使用し、CVE スキャンタイプで使用する OVAL 定義が最新であることを確認します。
  2. いくつかの既知のセキュリティー脆弱性がある RHEL 7.2 コンテナーイメージをスキャンします。
    ~]# atomic scan registry.access.redhat.com/rhel7:7.2 
    docker run -t --rm -v /etc/localtime:/etc/localtime -v /run/atomic/2017-11-01-14-49-36-614281:/scanin -v /var/lib/atomic/openscap/2017-11-01-14-49-36-614281:/scanout:rw,Z -v /etc/oscapd:/etc/oscapd:ro registry.access.redhat.com/rhel7/openscap oscapd-evaluate scan --no-standard-compliance --targets chroots-in-dir:///scanin --output /scanout
    
    registry.access.redhat.com/rhel7:7.2 (98a88a8b722a718)
    
    The following issues were found:
    
     RHSA-2017:2832: nss security update (Important)
     Severity: Important
    	 RHSA URL: https://access.redhat.com/errata/RHSA-2017:2832
    	 RHSA ID: RHSA-2017:2832-01
    	 Associated CVEs:
    			 CVE ID: CVE-2017-7805
    			 CVE URL: https://access.redhat.com/security/cve/CVE-2017-7805
    ...

関連情報