機械翻訳について

7 コンテナ・イメージおよびコンテナのスキャン

コンテナまたはコンテナ・イメージをスキャンするには、oscap-podmanコマンドを使用します。 oscap-podmanコマンドは、コンテナまたはイメージの脆弱性を評価し、oscapコマンドと同様にセキュリティ・ポリシーへの準拠をチェックします。 このツールでは、オフライン・スキャンにより、コンテナまたはイメージ・ファイル・システムの一時的な読取り専用マウントを実行することですべての評価およびチェックが実行されます。 コンテナまたはイメージは変更されず、コンテナまたはイメージ内の他のツールは必要ありません。

1. コンテナまたはイメージのIDを取得します。

   コンテナまたはイメージのIDを取得します。 次のいずれかのコマンドを実行します。

   podman ps -a

   podman images

2. OVALファイルを使用してイメージをスキャンします。

   イメージ・バリアントに適切なCVEストリームを使用してイメージの脆弱性をスキャンし、この情報をHTML形式で出力するには、次のコマンドを実行します:

   sudo oscap-podman id oval eval --report reports.html oval-file

3. XCCDFチェックリストを使用してイメージをスキャンします。

   XCCDFチェックリストで指定されているセキュリティ・ポリシーにイメージが準拠しているかどうかをスキャンし、結果をHTML形式で出力するには、次を実行します。

   sudo oscap-podman id xccdf eval \
     --fetch-remote-resources \
     --profile profile-id \
     --results results.xml \
     --report report.html \
     /usr/share/xml/scap/ssg/content/ssg-ol9-ds.xml

詳細は、oscap-podman(8)マニュアル・ページを参照してください。