במסמך הזה מוסבר איך אפשר להשתמש ב-Gemini Cloud Assist כדי לקבל מידע על מצב הארטיפקטים, על מאגרי מידע ועל מטא-נתונים של ארטיפקטים, ואיך אפשר להשתמש במידע מ-Artifact Analysis כדי לענות על שאלות לגבי נקודות חולשה בארטיפקטים ורשימות של חומרי גלם (SBOM) בתוכנה.
לפני שמתחילים
- מוודאים שהגדרתם את Gemini Cloud Assist בפרויקט ב- Google Cloud .
- נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Artifact Registry and Container Scanning APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
התקינו את ה-CLI של Google Cloud.
-
אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.
-
כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Artifact Registry and Container Scanning APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
התקינו את ה-CLI של Google Cloud.
-
אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.
-
כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה:
gcloud init
התפקידים הנדרשים
כדי לקבל את ההרשאות שדרושות בשביל לבקש מ-Gemini Cloud Assist מידע על הארטיפקטים שלכם, אתם צריכים לבקש מהאדמין לתת לכם את התפקידים הבאים ב-IAM:
- Occurrences Viewer (
roles/containeranalysis.occurrences.viewer) on the project or repository - Gemini Cloud Assist User (
roles/cloudaicompanion.user) בפרויקט
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
פתיחה של Gemini Cloud Assist
אפשר לפתוח את הצ'אט של Gemini Cloud Assist מכל מקום במסוףGoogle Cloud .
- במסוף Google Cloud , בוחרים פרויקט שבו מאוחסנות תמונות של קונטיינרים ב-Artifact Registry.
- כדי לפתוח את החלונית Cloud Assist, לוחצים על סמל הנצנוץ Open or close Gemini AI chat.
- כדי להזין הנחיה, מקלידים את ההנחיה ולוחצים על שליחה שליחה.
שיקולים בכתיבת הנחיות
בהמשך מפורטת רשימה של שיקולים ספציפיים ל-Artifact Analysis שכדאי להכיר כשיוצרים הנחיות ל-Gemini Cloud Assist. למידע נוסף על כתיבת הנחיות, אפשר לעבור אל כתיבת הנחיות טובות יותר ל-Gemini Google Cloud.
- כל ההנחיות מוגדרות כברירת מחדל לפרויקט שנבחר, אבל אפשר להגדיר את ההנחיה כך שתסנן לפי מיקום, מאגר או תמונה.
- כל שאילתה שמבוססת על שם של קובץ אימג' של קונטיינר מתייחסת לשם של קובץ האימג' של קונטיינר כאל קידומת. כך אפשר לסנן בתוך פרויקט, מאגר או תמונה ספציפית (ב-SHA שונים), אבל אי אפשר לסנן לפי תג.
- כדי לקבל תוצאות ספציפיות יותר, צריך לכלול היקף. לדוגמה, כדי לקבל תוצאות לגבי תמונה ספציפית, צריך לכלול את שם התמונה בהיקף. אפשר להוסיף פרטים של פרויקט, מאגר, תמונה או תמונה@תקציר לשם של תמונת הקונטיינר כדי לסנן לפי הפרטים האלה.
- אין צורך במגדירי אזור בהנחיות ל-Artifact Analysis, כי Artifact Analysis מספק תוצאות משולבות מכל האזורים. אפשר לציין מסנן אזור כדי לסנן את התוצאות.
רשימת נקודות החולשה הידועות המובילות
אתם יכולים להנחות את Gemini Cloud Assist ליצור רשימה של נקודות החולשה העיקריות שזוהו בפרויקט הנוכחי. נקודות התורפה ממוינות לפי הציון שלהן במערכת הנפוצה לדירוג נקודות חולשה (CVSS) בסדר יורד, ומקובצות לפי מזהה נקודת התורפה. מוצגים רק 10 הפגיעויות המובילות. התוצאות כוללות פגיעויות מכל התמונות שנסרקו ב-30 הימים האחרונים.
אפשר לסנן את התשובה לפי שם קובץ אימג' של קונטיינר.
כדי לראות רשימה של הפגיעויות הידועות העיקריות, מזינים את ההנחיה הבאה בצ'אט Gemini Cloud Assist:
List artifact vulnerabilities for `CONTAINER_IMAGE_NAME`.
מחליפים את CONTAINER_IMAGE_NAME בשם של קובץ האימג' בקונטיינר שכולל את המאגר, לדוגמה, us-central1-docker.pkg.dev/my-project/my-repository.
אם תכללו יותר פרטים בשם של קובץ אימג' של קונטיינר, תקבלו תשובה מדויקת יותר. לדוגמה –
LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE
יספק פרטים על פגיעות בתמונה ספציפית.
ההנחיה הבאה מבקשת מ-Gemini Cloud Assist ליצור רשימה של נקודות החולשה הידועות העיקריות במאגר us-central1-docker.pkg.dev/my-project/my-repository:
List artifact vulnerabilities for
`us-central1-docker.pkg.dev/my-project/my-repository`.
התשובה כוללת רשימה של עד 10 פגיעויות, ממוינות לפי ציון ה-CVSS שלהן בסדר יורד עבור המאגר שצוין.
כדי לראות את כל נקודות החולשה, משתמשים בפקודה artifacts vulnerabilities list של ה-CLI של gcloud. אפשר לכלול את שם התמונה ללא ציון המאגר, או לספק אלגוריתם גיבוב מאובטח (SHA) כדי להציג פגיעויות.
רשימת תמונות לפי נקודת חולשה
אתם יכולים להנחות את Gemini Cloud Assist להציג את כל התמונות שכוללות פגיעות ספציפית. התשובה ממוינת בסדר יורד לפי תאריך היצירה האחרון, וכוללת תמונות שנסרקו ב-30 הימים האחרונים. בהנחיה הזו מוצגות עד 10 תמונות, ורק תמונות שנסרקו על ידי Artifact Analysis.
אפשר לסנן את התשובה לפי:
- מזהה הפגיעות
- שם קובץ האימג' של הקונטיינר
כדי לקבל רשימה של התמונות שכוללות פגיעות ספציפית, מזינים את ההנחיה הבאה בצ'אט של Cloud Assist:
List docker container images that contain vulnerability
`VULNERABILITY_ID`.
מחליפים את VULNERABILITY_ID במזהה של הפגיעות שרוצים לאתר, לדוגמה, CVE-2024-01234.
ההנחיה הבאה מבקשת מ-Gemini Cloud Assist לפרט תמונות שמכילות את נקודת החולשה CVE-2024-01234:
List artifact vulnerabilities for `CVE-2024-01234`.
התשובה כוללת רשימה של עד 10 תמונות שמכילות את הפגיעות שצוינה, ממוינות לפי ציון ה-CVSS שלהן בסדר יורד עבור המאגר שצוין.
רשימת תמונות לפי חבילה
אתם יכולים להנחות את Gemini Cloud Assist להחזיר רשימה של תמונות שכוללות חבילה מסוימת. התמונות ממוינות בסדר יורד לפי תאריך היצירה שלהן, וכוללות תמונות שנסרקו ב-30 הימים האחרונים. ההנחיה הזו מציגה עד 10 תמונות וכוללת רק תמונות שנסרקו על ידי Artifact Analysis.
אפשר לסנן את התשובה לפי שם קובץ אימג' של קונטיינר.
כדי לראות רשימה של התמונות שכוללות חבילה ספציפית, כותבים את ההנחיה הבאה בצ'אט של Cloud Assist:
List docker container images that contain package
`PACKAGE_ID`.
מחליפים את PACKAGE_ID במזהה החבילה שרוצים לאתר.
לדוגמה, בהנחיה הבאה מבקשים מ-Gemini Cloud Assist ליצור רשימה של תמונות שמכילות את החבילה my-package-name:
List images that contain package `my-package-name`.
התשובה כוללת רשימה של עד 10 תמונות שמכילות את החבילה שצוינה.
הצגת אישור המקור של Build
אתם יכולים לתת הנחיה ל-Gemini Cloud Assist להחזיר את 10 הפרטים האחרונים של מקורות המידע של גרסת build עבור פרויקט והיקף ספציפיים. התוצאות ממוינות לפי תאריך היצירה בסדר יורד, כך שהפריטים שנוצרו לאחרונה מופיעים בראש הרשימה. מוצגים עד 10 מבנים. כדי שהמבנים יופיעו ברשימה, הם צריכים להיווצר ב-30 הימים האחרונים. ההנחיה הזו תומכת רק בגרסאות build עם מקור SLSA 1.0.
אפשר לסנן את התשובה לפי שם קובץ אימג' של קונטיינר.
כדי לראות את רשימת המקורות של הבנייה, מזינים את ההנחיה הבאה בצ'אט של Cloud Assist:
List build provenance for CONTAINER_IMAGE_NAME.
מחליפים את CONTAINER_IMAGE_NAME במזהה של התמונה שרוצים לדעת את המקור שלה.
לדוגמה, בהנחיה הבאה מבקשים מ-Gemini Cloud Assist ליצור רשימה של אישור המקור של Build עבור us-central1-docker.pkg.dev/my-project/my-image:
List build provenance for `us-central1-docker.pkg.dev/my-project/my-image`.
כדי לקבל מגוון רחב יותר של תוצאות, אפשר להסיר את המיקום, הפרויקט או פרטי התמונה משם קובץ האימג' בקונטיינר. התגובה כוללת פרטים על מקורות ה-build של 10 ה-builds האחרונים.
כדי לראות את הגרסאות במסוף Google Cloud , נכנסים לדף Build History.
הצגת רשימה של SBOMs
אתם יכולים לתת הנחיה ל-Gemini Cloud Assist להחזיר את ה-SBOM העדכניים ביותר במאגר שלכם. התוצאות ממוינות לפי תאריך היצירה בסדר יורד, כך שהפריטים שנוצרו לאחרונה מופיעים בראש הרשימה. אפשר להציג עד 10 מבנים שנוצרו ב-30 הימים האחרונים.
אפשר לסנן את התשובה לפי שם קובץ האימג' של קונטיינר, כולל פרטים של image@digest.
כדי להציג רשימה של ה-SBOM, בצ'אט של Cloud Assist, מזינים את ההנחיה הבאה:
List SBOMs for `CONTAINER_IMAGE_NAME`.
מחליפים את CONTAINER_IMAGE_NAME בשם של קובץ האימג' בקונטיינר שרוצים לחפש – לדוגמה, us-central1-docker.pkg.dev/my-project/my-repo.
ההנחיה הבאה מבקשת מ-Gemini Cloud Assist ליצור רשימה של ה-SBOMs למאגר us-central1-docker.pkg.dev/my-project/my-repo:
List SBOMs for `us-central1-docker.pkg.dev/my-project/my-repo`.
התשובה כוללת פרטים על ה-SBOM של 10 המאגרים האחרונים. כדי לקבל מגוון רחב יותר של תוצאות, אפשר להסיר את המיקום, הפרויקט או פרטי התמונה משם קובץ האימג' בקונטיינר.
אפשר לראות את כל ה-SBOM באמצעות הפקודה artifacts SBOM list ב-CLI של gcloud.
הנחיות נוספות
ההנחיות הבאות מדגימות את היכולות של Gemini Cloud Assist לסינון באמצעות משתנים.
כדי לראות רשימה של נקודות חולשה לפי משתנה ספציפי, מזינים את הטקסט הבא בצ'אט של Cloud Assist:
List vulnerabilities for `SCOPE`.
בהנחיה הזו SCOPE אפשר להגדיר פרויקט, מאגר, תמונה או תמונה וערך גיבוב.
כדי להציג רשימה של תמונות שמכילות חבילה ספציפית, מזינים את הטקסט הבא בצ'אט של Cloud Assist:
List images that contain the log4j package.
כדי לראות רשימה של תמונות שמכילות פגיעות ספציפית, מזינים את הטקסט הבא בצ'אט של Cloud Assist:
List images that contain `VULNERABILITY_ID`.
בהנחיה הזו, מחליפים את VULNERABILITY_ID במספר CVE.