Este documento explica como ativar e desativar a verificação automática.
O Artifact Analysis oferece verificação de vulnerabilidades automatizada para imagens de contêiner no Artifact Registry pela API Container Scanning. Os administradores de plataformas e desenvolvedores de aplicativos podem usar os resultados da verificação para identificar e mitigar riscos na cadeia de suprimentos de software.
Por padrão, o Artifact Analysis verifica todos os tipos de pacotes compatíveis no seu projeto quando você ativa a API Container Scanning. Para reduzir os custos e o ruído nos resultados da verificação, é possível desativar a verificação em repositórios individuais. Para mais informações, consulte Controlar as configurações de verificação de um repositório individual.
Consulte a página de preços para mais informações.
Limitações
A verificação não é compatível com repositórios virtuais do Artifact Registry.
Ativar a API Container Scanning
É possível ativar a API Container Scanning em um projeto ou criar um novo e ativá-la em seguida. A ativação da API Container Scanning também ativa a API Container Analysis para armazenamento e recuperação de metadados.
Para ativar a verificação de vulnerabilidades no seu projeto no Artifact Registry, siga estas etapas:
No Google Cloud console do, abra a página Ativar acesso à API:
Ativar a API Container Scanning
Controlar as configurações de verificação de um repositório individual
Esta seção explica como controlar as configurações de verificação de repositórios individuais. Esse recurso só é compatível com o Artifact Registry.
Por padrão, a ativação da API Container Scanning ativa a verificação de todas as imagens enviadas para repositórios Docker padrão e remotos no Artifact Registry. Os formatos de repositório a seguir também oferecem suporte à verificação automática. No entanto, a verificação é desativada por padrão e precisa ser ativada manualmente:
- Maven
- Npm
- Python
A verificação com o Artifact Analysis fornece informações abrangentes sobre possíveis ameaças à cadeia de suprimentos de software. Também é possível desativar a verificação em repositórios individuais, se necessário.
É possível desativar a verificação em repositórios para:
- Gerenciar os custos de verificação em um projeto. Não é necessário desativar a verificação de um projeto inteiro ou criar um novo projeto para isolar repositórios.
- Reduzir o número de descobertas de vulnerabilidades recebidas. É possível se concentrar na correção de vulnerabilidades em repositórios específicos.
Para mudar as configurações de verificação de repositórios do Artifact Registry, faça o seguinte:
Console
Abra a página Repositórios no Google Cloud console.
Na lista de repositórios, selecione o repositório e clique em Editar repositório.
Ative ou desative a verificação de vulnerabilidades.
Clique em Salvar.
gcloud
Para desativar a verificação no repositório:
gcloud artifacts repositories update REPOSITORY \
--project=PROJECT-ID \
--location=LOCATION \
--disable-vulnerability-scanning
Para permitir a verificação no repositório:
gcloud artifacts repositories update REPOSITORY \
--project=PROJECT-ID \
--location=LOCATION \
--allow-vulnerability-scanning
Em que:
- REPOSITORY: o nome do repositório. Se você tiver configurado um repositório padrão, poderá omitir essa flag para usar o padrão.
- PROJECT-ID: o Google Cloud ID do projeto. Se essa flag for omitida, o projeto atual ou padrão será usado.
- LOCATION: use essa flag para ver repositórios em um local específico. Se você tiver configurado um local padrão, poderá omitir essa flag para usar o padrão.
Para configurar as configurações de verificação de um novo repositório do Artifact Registry, consulte Criar repositórios padrão ou Criar repositórios remotos.
Desativar a API Container Scanning
Esta seção explica como desativar a verificação de vulnerabilidades do seu projeto no Artifact Registry.
Quando você desativa a API Container Scanning, a verificação é interrompida para todos os repositórios do seu projeto. As configurações de verificação de repositórios individuais são preservadas. Se você desativou a verificação em alguns repositórios e, mais tarde, reativou a API para seu projeto, esses repositórios permanecerão excluídos da verificação.
Para atualizar as configurações de verificação de repositórios individuais, consulte Atualizar repositórios.
Console
Abra a página Configurações do Artifact Registry:
Na seção Verificação de vulnerabilidades, clique em Desativar.
gcloud
Execute este comando:
gcloud services disable containerscanning.googleapis.com
Estender a janela de tempo de monitoramento
O Artifact Analysis monitora continuamente os metadados de vulnerabilidade de imagens verificadas no Artifact Registry. A janela de tempo padrão para monitoramento contínuo é de 30 dias. Após esse período, as imagens ficam desatualizadas e os resultados da verificação de vulnerabilidades não são mais atualizados.
Para estender a janela de monitoramento, você precisa extrair ou enviar a imagem dentro do período de 30 dias. Recomendamos a criação de uma tarefa programada para reenviar contêineres que não exigem atualização frequente, por exemplo, suas imagens do Istio e do proxy.