Schwachstellen mit Gemini-Unterstützung untersuchen

In diesem Dokument wird beschrieben, wie Sie mit Gemini Cloud Assist Informationen zum Status Ihrer Artefakte abrufen, Informationen zu Repositories und Artefakt-Metadaten erhalten und Informationen aus der Artefaktanalyse verwenden können, um Fragen zu Artefakt-Sicherheitslücken und Ihrer Software-Stückliste (Software Bill of Materials, SBOM) zu beantworten.

Hinweis

  1. Achten Sie darauf, dass Gemini Cloud Assist in Ihrem Google Cloud Projekt eingerichtet ist.
  2. Melden Sie sich in Ihrem Google Cloud Konto an. Wenn Sie noch kein Konto bei Google Cloudhaben, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  3. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  4. Verify that billing is enabled for your Google Cloud project.

  5. Enable the Artifact Registry and Container Scanning APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  6. Installieren Sie die Google Cloud CLI.

  7. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  8. Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init

  9. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  10. Verify that billing is enabled for your Google Cloud project.

  11. Enable the Artifact Registry and Container Scanning APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  12. Installieren Sie die Google Cloud CLI.

  13. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  14. Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Abrufen von Informationen zu Ihren Artefakten von Gemini Cloud Assist benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Gemini Cloud Assist öffnen

Sie können den Gemini Cloud Assist-Chat von überall in der Google Cloud Console aus öffnen.

  1. Wählen Sie in der Google Cloud Console ein Projekt aus, in dem Sie Container-Images in Artifact Registry gespeichert haben.

    Zur Projektauswahl

  2. Klicken Sie auf spark Gemini-KI-Chat öffnen oder schließen, um den Bereich Cloud Assist zu öffnen.
  3. Geben Sie einen Prompt ein und klicken Sie auf send Senden.

Überlegungen zu Prompts

Im Folgenden finden Sie eine Liste mit Überlegungen zur Artefaktanalyse, die Sie beim Erstellen von Gemini Cloud Assist-Prompts berücksichtigen sollten. Weitere Informationen zu allgemeinen Tipps zum Schreiben von Prompts finden Sie unter Bessere Prompts für Gemini für schreiben Google Cloud.

  • Alle Prompts werden standardmäßig auf das ausgewählte Projekt angewendet. Sie können Ihren Prompt jedoch so ausrichten, dass er nach Standort, Repository oder Image gefiltert wird.
  • Bei jeder Abfrage, die auf einem Container-Image-Namen basiert, wird der Container-Image-Name als Präfix behandelt. So können Sie innerhalb eines Projekts, Repositorys oder bestimmten Images (über verschiedene SHAs hinweg) filtern, aber nicht nach Tag.
  • Fügen Sie einen Bereich hinzu, um spezifischere Ergebnisse zu erhalten. Wenn Sie beispielsweise Ergebnisse für ein bestimmtes Image erhalten möchten, fügen Sie den Imagenamen in den Bereich ein. Sie können filtern, indem Sie dem Container-Image-Namen Details zu Projekt, Repository, Image oder Image@Digest hinzufügen.
  • Regionsqualifizierer sind für Prompts der Artefaktanalyse nicht erforderlich, da die Artefaktanalyse kombinierte Ergebnisse aus allen Regionen liefert. Sie können einen Regionsqualifizierer angeben, um die Ergebnisse zu filtern.

Meine wichtigsten bekannten Sicherheitslücken auflisten

Sie können Gemini Cloud Assist auffordern, die wichtigsten bekannten Sicherheitslücken in Ihrem aktuellen Projekt aufzulisten. Sicherheitslücken werden nach ihrer CVSS-Punktzahl (Common Vulnerability Scoring System) in absteigender Reihenfolge sortiert und nach ihrer Sicherheitslücken-ID gruppiert. Es werden nur die 10 wichtigsten Sicherheitslücken angezeigt. Die Ergebnisse umfassen Sicherheitslücken aus allen Images, die in den letzten 30 Tagen gescannt wurden.

Sie können die Antwort nach dem Namen des Container-Images filtern.

Geben Sie im Gemini Cloud Assist-Chat den folgenden Prompt ein, um die wichtigsten bekannten Sicherheitslücken aufzulisten:

List artifact vulnerabilities for `CONTAINER_IMAGE_NAME`.

Ersetzen Sie CONTAINER_IMAGE_NAME durch den Namen des Container-Images, der Ihr Repository enthält, z. B. us-central1-docker.pkg.dev/my-project/my-repository.

Wenn Sie mehr Details in den Namen des Container-Images aufnehmen, erhalten Sie eine genauere Antwort. Beispiel: LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE liefert Details zu Sicherheitslücken für ein bestimmtes Image.

Der folgende Prompt fordert Gemini Cloud Assist auf, die wichtigsten bekannten Sicherheitslücken für das Repository us-central1-docker.pkg.dev/my-project/my-repository aufzulisten:

List artifact vulnerabilities for
`us-central1-docker.pkg.dev/my-project/my-repository`.

Die Antwort enthält eine Liste mit bis zu 10 Sicherheitslücken, die nach ihrer CVSS-Punktzahl in absteigender Reihenfolge für das angegebene Repository sortiert sind.

Verwenden Sie den artifacts vulnerabilities list gcloud CLI-Befehl, um alle Ihre Sicherheitslücken aufzurufen. Sie können den nicht qualifizierten Imagenamen angeben oder einen SHA (Secure Hash Algorithm) verwenden, um Sicherheitslücken aufzurufen.

Images nach Sicherheitslücke auflisten

Sie können Gemini Cloud Assist auffordern, alle Ihre Images anzuzeigen, die eine bestimmte Sicherheitslücke enthalten. Die Antwort ist in absteigender Reihenfolge nach dem letzten Erstellungsdatum sortiert und enthält Images, die in den letzten 30 Tagen gescannt wurden. Dieser Prompt zeigt maximal 10 Images an und enthält nur Images, die von der Artefaktanalyse gescannt wurden.

Sie können die Antwort nach Folgendem filtern:

  • Sicherheitslücken-ID
  • Name des Container-Images

Geben Sie im Chat Cloud Assist den folgenden Prompt ein, um Ihre Images aufzulisten, die eine bestimmte Sicherheitslücke enthalten:

List docker container images that contain vulnerability
`VULNERABILITY_ID`.

Ersetzen Sie VULNERABILITY_ID durch die ID der Sicherheitslücke, die Sie suchen möchten, z. B. CVE-2024-01234.

Der folgende Prompt fordert Gemini Cloud Assist auf, Images aufzulisten, die die Sicherheitslücke CVE-2024-01234 enthalten:

List artifact vulnerabilities for `CVE-2024-01234`.

Die Antwort enthält eine Liste mit bis zu 10 Images, die die angegebene Sicherheitslücke enthalten, sortiert nach ihrer CVSS-Punktzahl in absteigender Reihenfolge für das angegebene Repository.

Images nach Paket auflisten

Sie können Gemini Cloud Assist auffordern, eine Liste von Images zurückzugeben, die ein bestimmtes Paket enthalten. Die Images sind in absteigender Reihenfolge nach dem Erstellungsdatum sortiert und enthalten Images, die in den letzten 30 Tagen gescannt wurden. Dieser Prompt zeigt maximal 10 Images an und enthält nur Images, die von der Artefaktanalyse gescannt wurden.

Sie können die Antwort nach dem Namen des Container-Images filtern.

Geben Sie im Chat Cloud Assist den folgenden Prompt ein, um Ihre Images aufzulisten, die ein bestimmtes Paket enthalten:

List docker container images that contain package
`PACKAGE_ID`.

Ersetzen Sie PACKAGE_ID durch die ID des Pakets, das Sie suchen möchten.

Der folgende Prompt fordert Gemini Cloud Assist beispielsweise auf, Images aufzulisten, die das Paket my-package-name enthalten:

List images that contain package `my-package-name`.

Die Antwort enthält eine Liste mit bis zu 10 Images, die das angegebene Paket enthalten.

Build-Herkunft auflisten

Sie können Gemini Cloud Assist auffordern, die 10 neuesten Details zur Build-Herkunft für ein bestimmtes Projekt und einen bestimmten Bereich zurückzugeben. Die Ergebnisse sind nach Erstellungsdatum in absteigender Reihenfolge sortiert, wobei die zuletzt erstellten Elemente oben in der Liste stehen. Es werden bis zu 10 Builds angezeigt. Damit Builds aufgeführt werden können, müssen sie in den letzten 30 Tagen erstellt worden sein. Dieser Prompt unterstützt nur Builds mit SLSA 1.0-Herkunft.

Sie können die Antwort nach dem Namen des Container-Images filtern.

Geben Sie im Chat Cloud Assist den folgenden Prompt ein, um die Build-Herkunft aufzulisten:

List build provenance for CONTAINER_IMAGE_NAME.

Ersetzen Sie CONTAINER_IMAGE_NAME durch die ID des Images, dessen Herkunft Sie erfahren möchten.

Der folgende Prompt fordert Gemini Cloud Assist beispielsweise auf, die Build-Herkunft für us-central1-docker.pkg.dev/my-project/my-image aufzulisten:

List build provenance for `us-central1-docker.pkg.dev/my-project/my-image`.

Sie können die Details zu Standort, Projekt oder Image aus dem Namen des Container-Images entfernen, um eine größere Anzahl von Ergebnissen zurückzugeben. Die Antwort enthält Details zur Build-Herkunft für die 10 neuesten Builds.

Auf der Seite Build-Verlauf in der Google Cloud Console können Sie Ihre Builds aufrufen.

SBOMs auflisten

Sie können Gemini Cloud Assist auffordern, die neuesten SBOMs in Ihrem Repository zurückzugeben. Die Ergebnisse sind nach Erstellungsdatum in absteigender Reihenfolge sortiert, wobei die zuletzt erstellten Elemente oben in der Liste stehen. Es können bis zu 10 Builds angezeigt werden, die in den letzten 30 Tagen erstellt wurden.

Sie können die Antwort nach dem Namen des Container-Images filtern, einschließlich der Details zu image@digest.

Geben Sie im Chat Cloud Assist den folgenden Prompt ein, um Ihre SBOMs aufzulisten:

List SBOMs for `CONTAINER_IMAGE_NAME`.

Ersetzen Sie CONTAINER_IMAGE_NAME durch den Namen des Container-Images, nach dem Sie suchen möchten, z. B. us-central1-docker.pkg.dev/my-project/my-repo.

Der folgende Prompt fordert Gemini Cloud Assist auf, die SBOMs für das Repository us-central1-docker.pkg.dev/my-project/my-repo aufzulisten:

List SBOMs for `us-central1-docker.pkg.dev/my-project/my-repo`.

Die Antwort enthält SBOM-Details für die 10 neuesten Repositories. Sie können die Details zu Standort, Projekt oder Image aus dem Namen des Container-Images entfernen, um eine größere Anzahl von Ergebnissen zurückzugeben.

Mit dem artifacts SBOM list gcloud CLI-Befehl können Sie alle SBOMs aufrufen.

Zusätzliche Prompts

Die folgenden Prompts veranschaulichen die Möglichkeiten der Verwendung von Variablen zum Filtern mit Gemini Cloud Assist.

Geben Sie im Chat Cloud Assist Folgendes ein, um Sicherheitslücken nach einer bestimmten Variablen aufzulisten:

List vulnerabilities for `SCOPE`.

In diesem Prompt kann SCOPE auf ein Projekt, ein Repository, ein Image oder ein Image und einen Digest festgelegt werden.

Geben Sie im Chat Cloud Assist Folgendes ein, um Images aufzulisten, die ein bestimmtes Paket enthalten:

List images that contain the log4j package.

Geben Sie im Chat Cloud Assist Folgendes ein, um Images aufzulisten, die eine bestimmte Sicherheitslücke enthalten:

List images that contain `VULNERABILITY_ID`.

Ersetzen Sie in diesem Prompt VULNERABILITY_ID durch eine CVE-Nummer.

Nächste Schritte