Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

8.9. 컨테이너 및 컨테이너 이미지에서 취약점 스캔

이 절차를 사용하여 컨테이너 또는 컨테이너 이미지의 보안 취약점을 찾습니다.
oscap-docker 명령줄 유틸리티 또는 atomic 검사 명령줄 유틸리티를 사용하여 컨테이너 또는 컨테이너 이미지에서 보안 취약점을 찾을 수 있습니다.
oscap-docker 를 사용하면 oscap 프로그램을 사용하여 컨테이너 이미지 및 컨테이너를 스캔할 수 있습니다.
atomic 스캔 기능을 사용하면 OpenSCAP 스캔 기능을 사용하여 시스템에서 컨테이너 이미지 및 컨테이너를 스캔할 수 있습니다. 알려진 CVE 취약점 및 구성 준수 여부를 스캔할 수 있습니다. 컨테이너 이미지를 지정된 정책에 수정할 수도 있습니다.

8.9.1. oscap-docker를 사용하여 컨테이너 이미지 및 컨테이너 스캔

oscap-docker 유틸리티를 사용하여 컨테이너 및 컨테이너 이미지를 스캔할 수 있습니다.
참고
oscap-docker 명령을 실행하려면 루트 권한이 필요하며 컨테이너 ID는 두 번째 인수입니다.

사전 요구 사항

  • openscap-containers 패키지가 설치되어 있습니다.

절차

  1. 컨테이너 또는 컨테이너 이미지의 ID를 찾습니다. 예를 들면 다음과 같습니다. 
    ~]# docker images
REPOSITORY                            TAG      IMAGE ID       CREATED       SIZE
registry.access.redhat.com/ubi7/ubi   latest   096cae65a207   7 weeks ago   239 MB
  2. 컨테이너 또는 컨테이너 이미지에서 취약점을 검사하고 결과를 vulnerability.html 파일에 저장합니다. 
    ~]# oscap-docker image-cve 096cae65a207 --report vulnerability.html
    중요
    컨테이너를 검사하려면 image-cve 인수를 container-cve 로 교체합니다.

검증

  1. 선택한 브라우저에서 결과를 검사합니다. 예를 들면 다음과 같습니다. 
    ~]$ firefox vulnerability.html &

추가 리소스

  • 자세한 내용은 oscap-docker(8)oscap(8) 매뉴얼 페이지를 참조하십시오.