自动修正CVE漏洞？

Question

我正在配置我的服务器，并使用trivy扫描漏洞。Trivy发现了许多带有cve代码的高度和关键的漏洞--我是在服务器上运行它，还是在服务器上运行的容器映像上运行它。

我想找到一种自动的方法来纠正这些cve。

更确切地说:我已经运行了apt更新、apt升级和apt dist升级，但是trivy仍然发现了许多高度和关键的漏洞。

我试图在google上寻找“漏洞修复”，但我没有发现太多自动漏洞修补程序。它主要是关于扫描，这已经是很好的，但我真的不知道如何处理什么，小薇告诉我。

是否有任何开放源码/免费工具可以这样做？

谢谢

Answer 1

除了修补和更新您的系统之外，您显然已经这样做了(请允许我建议您在系统中实现unattended_upgrades )--减少为您的系统找到的CVEs数量将有两种不同的方式：

1. 减少您的攻击面-删除所有您不明确要求的包- apt autoremove将对系统包这样做，但对于容器映像，您可能希望将这些更新到更当前的版本。这是你身边最不努力的地方。
2. 考虑根据它们各自的安全最佳实践来配置负责CVEs的包。毕竟，这完全取决于您的威胁模型，在您的特定环境中，某些配置可能是可取的，也可能是不可取的。对于您来说，这是更多的工作密集型部分，因为除了使用这一个这样的不可见角色之外，没有真正的方法来自动处理这个问题，因为它为某些系统服务选择了一些正常的默认设置。

编辑：apt autoremove的目的:根据手册页：

自动删除用于删除自动安装以满足其他包的依赖关系的包，这些包现在不再需要。