Menu Close
Settings Close

Language and Page Formatting Options

8.10. 扫描容器和容器镜像以查找漏洞

使用这个流程查找容器或容器镜像中的安全漏洞。

先决条件

  • 已安装 openscap-utilsbzip2 软件包。

步骤

  1. 下载系统的最新 RHSA OVAL 定义:

    # wget -O - https://www.redhat.com/security/data/oval/v2/RHEL9/rhel-9.oval.xml.bz2 | bzip2 --decompress > rhel-9.oval.xml
  2. 获取容器或容器镜像的 ID,例如:

    # podman images
    REPOSITORY                            TAG      IMAGE ID       CREATED       SIZE
    registry.access.redhat.com/ubi9/ubi   latest   096cae65a207   7 weeks ago   239 MB
  3. 扫描容器或容器镜像的漏洞,并将结果保存到 vulnerability.html 文件中:

    # oscap-podman 096cae65a207 oval eval --report vulnerability.html rhel-9.oval.xml

    请注意,oscap-podman 命令需要 root 特权,容器的 ID 是第一个参数。

验证

  • 在您选择的浏览器中检查结果,例如:

    $ firefox vulnerability.html &

其他资源

  • 如需更多信息,请参阅 oscap-podman(8)oscap(8) 手册页。