Cve
自動糾正 CVE 漏洞?
我正在配置我的伺服器並使用 trivy 掃描漏洞。無論我在伺服器上執行它還是在我將在伺服器上執行的容器映像上,Trivy 都發現了許多帶有 cve 程式碼的高危和嚴重漏洞。
我想找到一種自動方法來糾正這些 cve。
更具體地說:我已經執行了 apt update、apt upgrade 和 apt dist-upgrade,但 trivy 仍然發現了許多高危漏洞。
我試圖在Google上尋找“漏洞修復”,但我沒有找到很多自動漏洞修補程序。主要是關於掃描,這已經很好了,但我真的不知道如何處理 trivy 告訴我的內容……
是否有任何開源/免費工具可以做到這一點?
謝謝
除了修補和保持系統最新,您顯然已經這樣做了(我可能建議
unattended_upgrades
您在使用時實施) - 減少為您的系統找到的 CVE 數量將通過兩種不同的方式起作用:
- 減少你的攻擊面——刪除所有你沒有明確要求的包——
apt autoremove
將對系統包執行此操作,但對於容器映像,你可能還希望將它們更新到更目前的版本。這是您最不費力的事情。- 考慮根據各自的安全最佳實踐配置負責 CVE 的包。畢竟,這完全取決於您的威脅模型,並且某些配置在您的特定環境中可能需要也可能不需要。這對您來說是工作量更大的部分,因為沒有真正的方法可以開箱即用地自動執行此操作 - 除了使用像這樣的 Ansible 角色,它為某些系統服務選擇了一些合理的預設值
編輯:
apt autoremove
根據手冊頁的目的:autoremove 用於刪除自動安裝以滿足其他包的依賴關係並且現在不再需要的包。