コンテナ・イメージおよびコンテナのスキャン

6 コンテナ・イメージおよびコンテナのスキャン

oscap-podmanを使用して、コンテナまたはコンテナ・イメージをスキャンします。

oscap-podmanでは、oscapコマンドと同様に、コンテナまたはイメージの脆弱性が評価され、セキュリティ・ポリシーのコンプライアンスが確認されます。このツールでは、オフライン・スキャンにより、コンテナまたはイメージ・ファイル・システムの一時的な読取り専用マウントを実行することですべての評価およびチェックが実行されます。コンテナまたはイメージに変更が加えられることはなく、コンテナ内またはイメージ内にその他のツールが必要になることはありません。

コンテナまたはイメージのIDを取得します。次のいずれかを実行します。
```
podman ps -a
```
```
podman images
```
イメージの脆弱性を、そのイメージ・バリアントに適したCVEストリームを使用してスキャンし、この情報をHTML形式で出力するには、次を実行します。
```
sudo oscap-podman <id> oval eval --report reports.html <oval-file>
```
XCCDFチェックリストで指定されているセキュリティ・ポリシーにイメージが準拠しているかどうかをスキャンし、結果をHTML形式で出力するには、次を実行します。
```
sudo oscap-podman <id> xccdf eval \
  --fetch-remote-resources \
  --profile <profile-id> \
  --results results.xml \
  --report report.html \
  /usr/share/xml/scap/ssg/content/ssg-ol8-ds.xml
```

詳細は、oscap-podman(8)マニュアル・ページを参照してください。