背景近日,阿里云Linux2/3(简称Alinux2/3)新软联通OSServerv20(以下简称UOSv20)先后完成了与国际知名安全社区OpenSCAP的产品支持集成,成为国内首批获得OpenSCAP正式支持的OS产品。SCAP(SecurityContentAutomationProtocol,安全内容自动化协议)是由NIST(NationalInstituteofStandardsandTechnology,美国国家标准与技术研究院)维护的一套标准,用于规范安全基线验证和漏洞评估软件产品,是目前国际上一套较为成熟的信息安全测评标准体系,其标准化、自动化的思想对信息安全行业产生了深远的影响。OpenSCAP项目是一组用于实施和执行SCAP标准的开源工具,并于2014年获得了NIST的SCAP1.2认证。调查发现,OpenSCAP不仅广泛内置于CentOS等许多知名操作系统发行版中、Debian和Ubuntu,也被Wazuh等安全产品直接集成。OpenSCAP开源项目包含一系列工具和大量安全策略:SCAPWorkbench:一个GUI交互界面;OpenSCAP:库和CLI命令行工具(oscap等);SCAP安全指南(SSG):SCAP安全指南;ScriptCheckEngine(SCE):脚本检查引擎(可选)。其中,SSG包括大量操作系统发行版和软件产品的安全扫描策略,是OpenSCAP进行安全合规基线检查、修复和漏洞评估的重要依据。Alinux与UOS在OpenSCAP中的集成龙蜥社区生态伙伴结合下游OS分发产品(Alinux2/3,UOSv20),通过OS产品支持集成,对接安全策略。近期,他们已经完成了对OpenSCAP项目的正式集成,成为了OpenSCAP标准支持的国产操作系统版本。Alinux与UOS完成OpenSCAP集成,具有以下意义:如下图所示,Alinux2/3和UOSv20成为国内第一批正式支持OpenSCAP的OS,Alinux2/3和UOSv20可以使用OpenSCAP标准安全策略进行扫描;Alinux的CIS安全策略已经被OpenSCAP认可和整合。用户可以直接使用OpenSCAP产品扫描检测Alinux环境是否满足CIS标准要求。除了标准策略和CIS策略外,OpenSCAP产品还支持大量其他合规性要求。政策,如HIPAA、PCI-DSS等。未来这些安全政策也可以应用于Alinux2/3、UOSv20等环境,检查和调整系统配置,满足不同场景下的安全合规需求;OpenSCAP是众多知名的Linux发行版内置的安全工具,Alinux和UOS与OpenSCAP集成后,也可以作为标准的安全工具,更好地服务于Alinux2/3和UOSv20发行版的用户。另外,关于DragonLizard社区和下游版本的安全生态,以Alinux为例。这是继CIS之后第二个正式支持Alinux2/3的国际安全社区。在OpenSCAP正式支持Alinux2/3后,Alinux2/3CIS相关的安全基线也可以贡献给OpenSCAP社区,从而进一步提升Anolis/Alinux的安全合规能力,更好的服务于Alinux和DragonLizard操作系统(AnolisOS)用户构建了坚实的基础。OpenSCAP扫描实践编译安装好openSCAP和SSG后,我们就可以进行测试了。本节以AlibabaCloudLinux2CIS策略扫描为例给出部分结果。#进入安装目录(以`/usr/local/share/xml/scap/ssg/content`为例)cd/usr/local/share/xml/scap/ssg/content#选择AlibabaCloudLinux2CISprofileoscapxccdfeval--profile"xccdf_org.ssgproject.content_profile_cis"--results-arfresults.xml--reportreport.htmlssg-alinux2-ds.xml打开对应的测试结果文件report.html,如下图所示,可以看到相应的检测结果(通过、失败等),还可以进一步展开查看具体安全策略的验证结果和巡检日志。总结和展望未来,我们将继续加强Anolis社区与OpenSCAP安全社区的合作,原生支持AnolisOS(AnolisOS)及Anolis社区更多下游版本及其相应的安全策略。OpenSCAP社区。同时,围绕OpenSCAP的其他组件(如库和CLI命令行工具等)的进一步深入合作和积极贡献,使得DragonLizard社区的安全生态更加繁荣。相关链接:OpenSCAP地址链接:https://github.com/OpenSCAP/o...SCAP安全指南(SSG):https://github.com/Compliance...——END——
