Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

8.9. 针对漏洞扫描容器和容器镜像

使用以下步骤查找容器或容器镜像中的安全漏洞。
您可以使用 aoscap-docker 命令行实用程序或 atomic 扫描命令行实用程序来查找容器或容器镜像中的安全漏洞
Withoscap-docker,您可以使用 oscap 程序扫描容器镜像和容器。
通过原子扫描,您可以使用 OpenSCAP 扫描功能扫描系统上的容器镜像和容器。您可以扫描已知的 CVE 漏洞和配置合规性。另外,您还可以将容器镜像修复为指定的策略。

8.9.1. 使用oscap-docker扫描容器镜像和容器的漏洞

您可以使用 theoscap-docker 实用程序扫描容器和容器镜像。
注意
Theoscap-docker 命令需要 root 特权,容器的 ID 是第二个参数。

先决条件

  • 已安装 openscap-containers 软件包。

流程

  1. 查找容器或容器镜像的 ID,例如:
    ~]# docker images
    REPOSITORY                            TAG      IMAGE ID       CREATED       SIZE
    registry.access.redhat.com/ubi7/ubi   latest   096cae65a207   7 weeks ago   239 MB
    
  2. 扫描容器或容器镜像中的漏洞,并将结果保存到 vulnerability.html 文件中:
    ~]# oscap-docker image-cve 096cae65a207 --report vulnerability.html
    重要
    若要扫描容器,请将 image-cve 参数替换为 container-cve

验证

  1. 在您选择的浏览器中检查结果,例如:
    ~]$ firefox vulnerability.html &

其它资源

  • 如需更多信息,请参阅 the oscap-docker(8)和 oscap(8)man page。