במאמר הזה מוסבר איך להפעיל ולהשבית סריקה אוטומטית.
Artifact Analysis מספק סריקה אוטומטית של נקודות חולשה בקובצי אימג' של קונטיינרים ב-Artifact Registry באמצעות Container Scanning API. אדמינים של פלטפורמות ומפתחי אפליקציות יכולים להשתמש בתוצאות הסריקה כדי לזהות סיכונים בשרשרת אספקת התוכנה ולצמצם אותם.
כברירת מחדל, כשמפעילים את Container Scanning API, Artifact Analysis סורק את כל סוגי החבילות הנתמכים בפרויקט. כדי להקטין את העלויות ולצמצם את הרעשים בתוצאות הסריקה, אפשר להשבית את הסריקה במאגרי מידע ספציפיים. מידע נוסף זמין במאמר בנושא שליטה בהגדרות הסריקה של מאגר נתונים ספציפי.
מידע על מחירים מופיע בדף התמחור.
מגבלות
אין תמיכה בסריקה במאגרי מידע וירטואליים ב-Artifact Registry.
הפעלת Container Scanning API
אפשר להפעיל את Container Scanning API בפרויקט קיים, או ליצור פרויקט חדש ואז להפעיל את ה-API. הפעלת ה-API של סריקת קונטיינרים מפעילה גם את ה-API של Container Analysis לאחסון ולאחזור של מטא-נתונים.
כדי להפעיל סריקת פגיעויות בפרויקט ב-Artifact Registry:
במסוף Google Cloud , פותחים את הדף Enable access to API (הפעלת גישה ל-API):
שליטה בהגדרות הסריקה של מאגר נתונים ספציפי
בקטע הזה מוסבר איך לשלוט בהגדרות הסריקה של מאגרי מידע ספציפיים. התכונה הזו נתמכת רק ב-Artifact Registry.
כברירת מחדל, הפעלת Container Scanning API מפעילה סריקה של כל התמונות שאתם מעלים למאגרי Docker רגילים ומרוחקים ב-Artifact Registry. הפורמטים הבאים של מאגרי מידע תומכים גם בסריקה אוטומטית, אבל הסריקה מושבתת כברירת מחדל וצריך להפעיל אותה באופן ידני:
- Maven
- Npm
- Python
סריקה באמצעות Artifact Analysis מספקת מידע מקיף על איומים פוטנציאליים בשרשרת אספקת התוכנה. במקרה הצורך, אפשר גם להשבית את הסריקה במאגרי מידע ספציפיים.
אתם יכולים להשבית את הסריקה במאגרי מידע כדי:
- ניהול עלויות הסריקה בפרויקט. אין צורך להשבית את הסריקה של פרויקט שלם או ליצור פרויקט חדש כדי לבודד מאגרי מידע.
- להקטין את מספר ממצאי נקודות החולשה שמתקבלים. אתם יכולים להתמקד בתיקון פגיעויות במאגרים ספציפיים.
כדי לשנות את הגדרות הסריקה של מאגרי Artifact Registry קיימים, מבצעים את הפעולות הבאות:
המסוף
פותחים את הדף Repositories במסוף Google Cloud .
ברשימת המאגרים, בוחרים את המאגר ולוחצים על Edit Repository.
מפעילים או משביתים את סריקת הפגיעויות.
לוחצים על Save.
gcloud
כדי להשבית את הסריקה במאגר:
gcloud artifacts repositories update REPOSITORY \
--project=PROJECT-ID \
--location=LOCATION \
--disable-vulnerability-scanning
כדי לאפשר סריקה במאגר:
gcloud artifacts repositories update REPOSITORY \
--project=PROJECT-ID \
--location=LOCATION \
--allow-vulnerability-scanning
כאשר:
- REPOSITORY: שם המאגר. אם הגדרתם מאגר ברירת מחדל, תוכלו להשמיט את הדגל הזה כדי להשתמש בברירת המחדל.
- PROJECT-ID: מזהה הפרויקט ב- Google Cloud . אם לא מציינים את הדגל הזה, המערכת משתמשת בפרויקט הנוכחי או בפרויקט ברירת המחדל.
- LOCATION: משתמשים בדגל הזה כדי להציג מאגרים במיקום ספציפי. אם הגדרתם מיקום ברירת מחדל, אתם יכולים להשמיט את הדגל הזה כדי להשתמש בברירת המחדל.
כדי להגדיר את הגדרות הסריקה למאגר חדש ב-Artifact Registry, אפשר לעיין במאמרים בנושא יצירת מאגרים רגילים או יצירת מאגרים מרוחקים.
השבתת Container Scanning API
בקטע הזה מוסבר איך להשבית את סריקת הפגיעויות בפרויקט ב-Artifact Registry.
כשמשביתים את Container Scanning API, הסריקה מופסקת בכל המאגרים בפרויקט. הגדרות הסריקה של מאגרי מידע נפרדים נשמרות. אם השבתתם בעבר את הסריקה בחלק מהמאגרים, ואחר כך הפעלתם מחדש את ה-API בפרויקט, המאגרים האלה יישארו מחוץ לסריקה.
כדי לעדכן את הגדרות הסריקה למאגרי מידע ספציפיים, אפשר לעיין במאמר בנושא עדכון מאגרי מידע.
המסוף
פותחים את הדף Settings (הגדרות) של Artifact Registry:
בקטע Vulnerability Scanning (סריקת פגיעויות), לוחצים על Disable (השבתה).
gcloud
מריצים את הפקודה הבאה:
gcloud services disable containerscanning.googleapis.com
הרחבת חלון הזמן למעקב
הכלי Artifact Analysis עוקב באופן רציף אחרי המטא-נתונים של נקודות החולשה בתמונות שנסרקו ב-Artifact Registry. חלון הזמן שמוגדר כברירת מחדל למעקב רציף הוא 30 יום. אחרי פרק הזמן הזה, התמונות לא עדכניות יותר ותוצאות הסריקה לאיתור פגיעויות לא מתעדכנות יותר.
כדי להאריך את חלון המעקב, צריך למשוך או לדחוף את התמונה בתוך תקופת 30 הימים. מומלץ ליצור משימה מתוזמנת כדי לשלוח מחדש קונטיינרים שלא צריך לעדכן בתדירות גבוהה, למשל קובצי האימג' של Istio ושל ה-proxy.