Red Hat Training

A Red Hat training course is available for RHEL 8

8.10. 扫描容器和容器镜像以查找漏洞

使用这个流程查找容器或容器镜像中的安全漏洞。

注意

oscap-podman 命令从 RHEL 8.2 开始提供。对于RHEL 8.1和8.0,请参阅 Using OpenSCAP for scanning containers in RHEL 8

先决条件

  • openscap-utils 包已经安装完毕。

流程

  1. 下载系统的最新 RHSA OVAL 定义:

    # wget -O - https://www.redhat.com/security/data/oval/v2/RHEL8/rhel-8.oval.xml.bz2 | bzip2 --decompress > rhel-8.oval.xml
  2. 获取容器或容器镜像的 ID,例如:

    # podman images
    REPOSITORY                            TAG      IMAGE ID       CREATED       SIZE
    registry.access.redhat.com/ubi8/ubi   latest   096cae65a207   7 weeks ago   239 MB
  3. 扫描容器或容器镜像中的漏洞,并将结果保存到 vulnerability.html 文件中:

    # oscap-podman 096cae65a207 Oval eval --report vulnerability.html rhel-8.oval.xml

    请注意,oscap-podman 命令需要 root 特权,容器的 ID 是第一个参数。

验证

  1. 在您选择的浏览器中检查结果,例如:

    $ firefox vulnerability.html &

其它资源

  • 如需更多信息,请参阅 oscap-podman(8)和 oscap(8)man page。