Red Hat Training

A Red Hat training course is available for RHEL 8

15.10. Digitalização de imagens de contêineres e recipientes em busca de vulnerabilidades

Use este procedimento para encontrar vulnerabilidades de segurança em um contêiner ou em uma imagem de contêiner.

Nota

O comando oscap-podman está disponível em RHEL 8.2. Para o RHEL 8.1 e 8.0, use a alternativa descrita no artigo Usando OpenSCAP para escanear recipientes no artigo da Base de Conhecimento RHEL 8.

Pré-requisitos

  • O pacote openscap-utils está instalado.

Procedimento

  1. Faça o download das últimas definições da RHSA OVAL para seu sistema: 

    # wget -O - https://www.redhat.com/security/data/oval/v2/RHEL8/rhel-8.oval.xml.bz2 | bzip2 --decompress > rhel-8.oval.xml

  2. Obter a identificação de um recipiente ou uma imagem de um recipiente, por exemplo: 

    # podman images
REPOSITORY                            TAG      IMAGE ID       CREATED       SIZE
registry.access.redhat.com/ubi8/ubi   latest   096cae65a207   7 weeks ago   239 MB

  3. Digitalize o recipiente ou a imagem do recipiente em busca de vulnerabilidades e salve os resultados no arquivo vulnerability.html: 

    # oscap-podman 096cae65a207 oval eval --report vulnerability.html rhel-8.oval.xml

    Note que o comando oscap-podman requer privilégios de raiz, e a identificação de um recipiente é o primeiro argumento.

Etapas de verificação

  1. Verifique os resultados em um navegador à sua escolha, por exemplo: 

    $ firefox vulnerability.html &

Recursos adicionais

  • Para mais informações, consulte as páginas de manual oscap-podman(8) e oscap(8).