7.2. 漏洞扫描

Red Hat Enterprise Linux 安全审计功能是基于安全内容自动化协议(SCAP)标准的。SCAP 是一种多用途规格框架，支持自动化配置、漏洞和补丁检查、技术控制合规性活动和安全衡量。

SCAP 规范创建一个生态系统，其中安全内容的格式是众所周知的且标准化的，尽管扫描程序或策略编辑器的实现并不是强制性的。这使得组织能够一次性构建它们的安全策略（SCAP 内容），无论他们使用了多少家安全供应商。

开放式漏洞评估语言(OVAL)是 SCAP 最基本、最古老的组件。与其他工具和自定义脚本不同，OVAL 以声明式方法描述资源的必需状态。OVAL 代码从不直接执行，而是使用称为扫描器的 OVAL 解释器工具。OVAL 的声明性质可确保评估的系统状态不会被意外修改。

与所有其他 SCAP 组件一样，OVAL 也是基于 XML。SCAP 标准定义了多个文档格式。每一个都包括一种不同的信息，用于不同的目的。

红帽产品安全团队 通过跟踪和调查影响红帽客户的所有安全问题，来帮助客户评估和管理风险。它在红帽客户门户网站上提供及时、简洁的补丁和安全公告。红帽创建和支持 OVAL 补丁定义，提供机器可读的安全公告版本。

由于平台、版本及其他因素之间存在差异，红帽产品安全严重性等级评级无法直接与第三方提供的通用漏洞评分系统(CVSS)基准评级一致。因此，我们建议您使用 RHSA OVAL 定义，而不是第三方提供的定义。

RHSA OVAL 定义 可以单独提供，也可以作为一个完整的软件包提供，并在红帽客户门户网站上提供新安全公告的一小时内进行更新。

每个 OVAL 补丁定义将一对一地映射到红帽安全公告(RHSA)。由于 RHSA 可以包含对多个漏洞的修复，因此每个漏洞都通过其通用漏洞和风险(CVE)名称单独列出，并在我们的公共 bug 数据库中有一个指向其条目的链接。

RHSA OVAL 定义旨在检查系统上安装的 RPM 软件包是否存易受攻击的版本。可以扩展这些定义以包括进一步的检查，例如，查找软件包是否在易受攻击的配置中被使用。这些定义旨在涵盖红帽所提供的软件和更新。需要其他定义来检测第三方软件的补丁状态。

oscap命令行实用程序使您能够扫描本地系统，验证配置合规性内容，并根据这些扫描和评估生成报告和指南。此工具充当 OpenSCAP 库的前端，并根据它所处理的 SCAP 内容类型将其功能分组到模块（子命令）。

您还可以使用通过 SSH 协议的 oscap-ssh 工具，使用 OpenSCAP 扫描程序来检查远程系统的漏洞。