无聊在翻ubuntu官网的项目，看到了这个东东，常见的有意思，学习一下。

openscap由工具集(oscap)及基线库(SSG)组成,其中工具集包括如下:

• OpenSCAP Base 命令行工具，本地扫描

• OpenSCAP Daemon 守护进程工具，功能同 OpenSCAP Base

• SCAP Workbench 图形界面，功能同 SCAP Base，可视化操作

ssg 的xml默认保存目
/usr/share/xml/scap/ssg/content/ 可从以下资料库查找:

https://nvd.nist.gov/ncp/repository

https://oval.cisecurity.org/repository/download

支持的扫描安全类型

• 通用漏洞披露 (CVE)

• 通用配置评估 (CCE)

• 通用平台评估 (CPE)

• 通用漏洞评分系统 (CVSS)

• 通用弱点枚举 (CWE)

• The Script Check Engine (SCE)

安装方法

apt-get install libopenscap8

oscap 工具使用的安全策略可以由OVAL文件或XCCDF文件编写，扫描结果可以打印为两种，标准输出和 XML 文件，结果文件可以经由 oscap 做进一步处理以便生成可读的报告.

使用SSG OVAL 定义扫描系统

oscap oval eval --results scan-oval-results.xml /usr/share/xml/scap/ssg/rhel7/ssg-rhel7-ds.xml

扫描结果将会以 scan-oval-results.xml 文件的方式保存在当前目录中。

使用 SSG XCCDF 基准扫描系统

oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_rht-ccp --results scan-xccdf-results.xml scan-xccdf-results.xml /usr/share/xml/scap/ssg/rhel7/ssg-rhel7-ds.xml

扫描结果将会以 scan-xccdf-results.xml 文件的方式保存在当前目录中。

将 SSG 扫描结果转换为报告

oscap oval generate report scan-oval-results.xml > ssg-scan-oval-report.htmloscap xccdf generate report scan-xccdf-results.xml > scan-xccdf-report.html

ubuntu官方提到的用法：

https://ubuntu.com/security/oval