Red Hat Training

A Red Hat training course is available for RHEL 8

7.10. 扫描容器和容器镜像以查找漏洞

使用这个流程查找容器或容器镜像中的安全漏洞。

注意

oscap-podman 命令从 RHEL 8.2 开始提供。对于RHEL 8.1和8.0,请参阅 Using OpenSCAP for scanning containers in RHEL 8

先决条件

  • openscap-utilsbzip2 软件包已安装。

流程

  1. 下载系统的最新 RHSA OVAL 定义: 

    # wget -O - https://www.redhat.com/security/data/oval/v2/RHEL8/rhel-8.oval.xml.bz2 | bzip2 --decompress > rhel-8.oval.xml

  2. 获取容器或容器镜像的 ID,例如: 

    # podman images
REPOSITORY                            TAG      IMAGE ID       CREATED       SIZE
registry.access.redhat.com/ubi8/ubi   latest   096cae65a207   7 weeks ago   239 MB

  3. 扫描容器或容器镜像的漏洞,并将结果保存到 vulnerability.html 文件中: 

    # oscap-podman 096cae65a207 oval eval --report vulnerability.html rhel-8.oval.xml

    请注意,oscap-podman 命令需要 root 特权,容器的 ID 是第一个参数。

验证

  • 在您选择的浏览器中检查结果,例如: 

    $ firefox vulnerability.html &

其它资源

  • 如需更多信息,请参阅 oscap-podman(8)oscap(8) 手册页。