Automatisches Scannen aktivieren oder deaktivieren

In diesem Dokument erfahren Sie, wie Sie das automatische Scannen aktivieren und deaktivieren.

Artefaktanalyse bietet über die Container Scanning API automatisiertes Scannen auf Sicherheitslücken für Container-Images in Artifact Registry. Plattformadministratoren und Anwendungsentwickler können die Scanergebnisse verwenden, um Risiken für ihre Softwarelieferkette zu identifizieren und zu minimieren.

Standardmäßig scannt Artefaktanalyse alle unterstützten Pakettypen in Ihrem Projekt, wenn Sie die Container Scanning API aktivieren. Um Kosten zu senken und falsch positive Meldungen in den Scanergebnissen zu reduzieren, können Sie das Scannen für einzelne Repositories deaktivieren. Weitere Informationen finden Sie unter Scaneinstellungen für ein einzelnes Repository steuern.

Preisinformationen finden Sie auf der Preisseite.

Beschränkungen

Das Scannen wird in virtuellen Artifact Registry-Repositories nicht unterstützt.

Container Scanning API aktivieren

Sie können die Container Scanning API für ein vorhandenes Projekt aktivieren oder ein neues Projekt erstellen und anschließend die API aktivieren. Wenn Sie die Container Scanning API aktivieren, wird auch die Container Analysis API für das Speichern und Abrufen von Metadaten aktiviert.

So aktivieren Sie das Scannen auf Sicherheitslücken für Ihr Projekt in Artifact Registry:

Öffnen Sie in der Google Cloud Console die Seite Zugriff auf API aktivieren:

Container Scanning API aktivieren

Scaneinstellungen für ein einzelnes Repository steuern

In diesem Abschnitt wird erläutert, wie Sie die Scaneinstellungen für einzelne Repositories steuern. Diese Funktion wird nur in Artifact Registry unterstützt.

Standardmäßig wird durch Aktivieren der Container Scanning API das Scannen für alle Images aktiviert, die Sie in Standard- und Remote-Docker-Repositories in Artifact Registry übertragen. Die folgenden Repository-Formate unterstützen ebenfalls das automatische Scannen. Das Scannen ist jedoch standardmäßig deaktiviert und muss manuell aktiviert werden:

  • Maven
  • npm
  • Python

Das Scannen mit Artefaktanalyse liefert umfassende Informationen zu potenziellen Bedrohungen für Ihre Softwarelieferkette. Bei Bedarf können Sie das Scannen auch für einzelne Repositories deaktivieren.

Sie können das Scannen für Repositories deaktivieren, um:

  • Ihre Scankosten in einem Projekt zu verwalten. Sie müssen das Scannen nicht für ein ganzes Projekt deaktivieren oder ein neues Projekt erstellen, um Repositories zu isolieren.
  • Die Anzahl der Ergebnisse zu Sicherheitslücken zu reduzieren. Sie können sich auf die Behebung von Sicherheitslücken in bestimmten Repositories konzentrieren.

So ändern Sie die Scaneinstellungen für vorhandene Artifact Registry-Repositories:

Console

  1. Öffnen Sie in der Google Cloud console die Seite Repositories.

    Zur Seite „Repositories“

  2. Wählen Sie in der Repository-Liste das Repository aus und klicken Sie auf Repository bearbeiten.

  3. Aktivieren oder deaktivieren Sie das Scannen auf Sicherheitslücken.

  4. Klicken Sie auf Speichern.

gcloud

So deaktivieren Sie das Scannen für das Repository:

gcloud artifacts repositories update REPOSITORY \
    --project=PROJECT-ID \
    --location=LOCATION \
    --disable-vulnerability-scanning

So aktivieren Sie das Scannen für das Repository:

gcloud artifacts repositories update REPOSITORY \
    --project=PROJECT-ID \
    --location=LOCATION \
    --allow-vulnerability-scanning

Wobei:

  • REPOSITORY: Der Name des Repositorys. Wenn Sie ein Standard-Repository konfiguriert haben, wird bei Weglassen dieses Flags dieses Standard-Repository verwendet.
  • PROJECT-ID: Die Google Cloud Projekt-ID. Wenn dieses Flag nicht angegeben ist, wird das aktuelle Projekt oder das Standardprojekt verwendet.
  • LOCATION: Verwenden Sie dieses Flag, um Repositories an einem bestimmten Speicherort aufzurufen. Wenn Sie einen Standard-Speicherort konfiguriert haben, wird bei Weglassen dieses Flags dieser Standardwert verwendet.

Informationen zum Konfigurieren der Scaneinstellungen für ein neues Artifact Registry-Repository finden Sie unter Standard-Repositories erstellen oder Remote-Repositories erstellen.

Container Scanning API deaktivieren

In diesem Abschnitt wird erläutert, wie Sie das Scannen auf Sicherheitslücken für Ihr Projekt in Artifact Registry deaktivieren.

Wenn Sie die Container Scanning API deaktivieren, wird das Scannen für alle Repositories in Ihrem Projekt beendet. Die Scaneinstellungen für einzelne Repositories bleiben erhalten. Wenn Sie das Scannen zuvor für einige Repositories deaktiviert und die API später für Ihr Projekt wieder aktiviert haben, bleiben diese Repositories vom Scannen ausgeschlossen.

Informationen zum Aktualisieren der Scaneinstellungen für einzelne Repositories finden Sie unter Repositories aktualisieren.

Console

  1. Öffnen Sie die Einstellungen für Artifact Registry:

    Zur Seite "Einstellungen"

  2. Klicken Sie im Abschnitt Scannen auf Sicherheitslücken auf Deaktivieren.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud services disable containerscanning.googleapis.com

Monitoring-Zeitfenster erweitern

Artefaktanalyse überwacht kontinuierlich die Metadaten zu Sicherheitslücken für gescannte Images in Artifact Registry. Das Standardzeitfenster für die kontinuierliche Überwachung beträgt 30 Tage. Nach diesem Zeitraum sind Ihre Images veraltet und die Ergebnisse des Scannens auf Sicherheitslücken werden nicht mehr aktualisiert.

Um das Monitoring-Zeitfenster zu verlängern, müssen Sie das Image innerhalb von 30 Tagen hoch- oder herunterladen. Wir empfehlen, eine geplante Aufgabe zu erstellen, um Container, die keine häufigen Aktualisierungen erfordern, noch einmal zu übertragen, z. B. Ihre Istio- und Proxy-Images.

Nächste Schritte