Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

8.9.2. 使用原子扫描扫描容器镜像和容器以了解漏洞

通过 atomic 扫描实用程序 https://www.redhat.com/security/data/oval/v2/RHEL7/,您可以扫描容器和容器镜像,以了解红帽发布的 CVE OVAL 定义中定义的已知安全漏洞atomic scan 命令的格式如下:
~]# atomic scan [OPTIONS] [ID]
其中 ID 是您要扫描的容器镜像或容器的 ID。

使用案例

  • 若要扫描所有容器镜像,可使用 --images 指令。
  • 若要扫描所有容器,可使用 --containers 指令。
  • 若要扫描这两种类型,可使用 --all 指令。
  • 若要列出所有可用的命令行选项,请使用 atomic scan --help 命令。
atomic 扫描命令的默认扫描类型是 CVE 扫描使用它检查红帽发布的 CVE OVAL 定义中定义的已知安全漏洞目标

先决条件

流程

  1. 验证您有最新的 OpenSCAP 容器镜像,以确保定义是最新的:
    ~]# atomic help registry.access.redhat.com/rhel7/openscap | grep version 
    重要
    红帽每周提供容器镜像更新。始终使用最新的 OpenSCAP 容器镜像来确保由 CVE 扫描类型使用的 OVAL 定义是最新的。
  2. 使用几个已知的安全漏洞扫描 RHEL 7.2 容器镜像:
    ~]# atomic scan registry.access.redhat.com/rhel7:7.2 
    docker run -t --rm -v /etc/localtime:/etc/localtime -v /run/atomic/2017-11-01-14-49-36-614281:/scanin -v /var/lib/atomic/openscap/2017-11-01-14-49-36-614281:/scanout:rw,Z -v /etc/oscapd:/etc/oscapd:ro registry.access.redhat.com/rhel7/openscap oscapd-evaluate scan --no-standard-compliance --targets chroots-in-dir:///scanin --output /scanout
    
    registry.access.redhat.com/rhel7:7.2 (98a88a8b722a718)
    
    The following issues were found:
    
     RHSA-2017:2832: nss security update (Important)
     Severity: Important
    	 RHSA URL: https://access.redhat.com/errata/RHSA-2017:2832
    	 RHSA ID: RHSA-2017:2832-01
    	 Associated CVEs:
    			 CVE ID: CVE-2017-7805
    			 CVE URL: https://access.redhat.com/security/cve/CVE-2017-7805
    ...

其它资源