Halaman ini diterjemahkan oleh Cloud Translation API.

Menggunakan Pemindaian On-Demand di pipeline Cloud Build Anda

Dengan menggunakan Pemindaian On-Demand sebagai bagian dari pipeline Cloud Build, Anda dapat memblokir build jika image container memiliki kerentanan dengan tingkat keparahan yang cocok dengan tingkat yang telah ditentukan sebelumnya.

Tutorial ini menunjukkan cara menggunakan Cloud Build untuk membangun image container dari kode sumber, memindainya untuk menemukan kerentanan, memeriksa tingkat keparahan kerentanan, dan mengirim image ke Artifact Registry jika tidak ada kerentanan pada tingkat keparahan tertentu.

Sebaiknya Anda membuat project baru untuk tutorial ini, dan menyelesaikan langkah-langkahnya di lingkungan yang terisolasi. Google Cloud

Menyiapkan file sumber

Untuk tutorial ini, Anda akan membuat image dari Dockerfile. Dockerfile adalah file sumber yang berisi petunjuk bagi Docker untuk membuat image.

Buka terminal, buat direktori baru bernama ods-tutorial, dan buka direktori tersebut:
```
mkdir ods-tutorial && cd ods-tutorial
```

Buat file bernama Dockerfile dengan konten berikut:

# Debian10 image
FROM gcr.io/google-appengine/debian10:latest

# Ensures that the built image is always unique
RUN apt-get update && apt-get -y install uuid-runtime && uuidgen > /IAMUNIQUE

Membuat repositori Artifact Registry

Tetapkan project ID ke project yang sama tempat Anda mengaktifkan API:
```
gcloud config set project PROJECT_ID
```

Buat repositori Docker bernama ods-build-repo di lokasi us-central1:

gcloud artifacts repositories create ods-build-repo --repository-format=docker \
--location=us-central1 --description="Repository for scan and build"

Pastikan repositori Anda berhasil dibuat:
```
gcloud artifacts repositories list
```

Membangun dan memindai

Di bagian ini, Anda akan menjalankan pipeline build menggunakan file konfigurasi build. File konfigurasi build menginstruksikan Cloud Build cara melakukan beberapa tugas berdasarkan spesifikasi Anda.

Di folder ods-tutorial/, buat file cloudbuild.yaml dengan konten berikut:

steps:
   - id: build
     name: gcr.io/cloud-builders/docker
     entrypoint: /bin/bash
     args:
     - -c
     - |
       docker build -t us-central1-docker.pkg.dev/$_PROJECT_ID/ods-build-repo/ods-test:latest -f ./Dockerfile . &&
       docker image inspect us-central1-docker.pkg.dev/$_PROJECT_ID/ods-build-repo/ods-test:latest --format \
       '{{index .RepoTags 0}}@{{.Id}}' > /workspace/image-digest.txt &&
       cat image-digest.txt
   - id: scan
     name: gcr.io/google.com/cloudsdktool/cloud-sdk
     entrypoint: /bin/bash
     args:
     - -c
     - |
       gcloud artifacts docker images scan us-central1-docker.pkg.dev/$_PROJECT_ID/ods-build-repo/ods-test:latest \
       --format='value(response.scan)' > /workspace/scan_id.txt
   - id: severity check
     name: gcr.io/google.com/cloudsdktool/cloud-sdk
     entrypoint: /bin/bash
     args:
     - -c
     - |
       gcloud artifacts docker images list-vulnerabilities $(cat /workspace/scan_id.txt) \
       --format='value(vulnerability.effectiveSeverity)' | if grep -Exq $_SEVERITY; \
       then echo 'Failed vulnerability check' && exit 1; else exit 0; fi
   - id: push
     name: gcr.io/cloud-builders/docker
     entrypoint: /bin/bash
     args:
     - -c
     - |
       docker push us-central1-docker.pkg.dev/$_PROJECT_ID/ods-build-repo/ods-test:latest
images: ['us-central1-docker.pkg.dev/$_PROJECT_ID/ods-build-repo/ods-test:latest']

File ini mencakup lokasi dan repositori yang sebelumnya dibuat di Artifact Registry. Jika Anda memutuskan untuk menggunakan nilai yang berbeda, ubah file cloudbuild.yaml yang sesuai. Nilai untuk PROJECT_ID dan SEVERITY diteruskan ke skrip dalam perintah build.

Tentukan tingkat SEVERITY kerentanan yang ingin Anda blokir dan mulai build.

Perhatian: Konfigurasi pipeline ini hanya memblokir build berdasarkan tingkat keparahan yang Anda tentukan secara eksplisit. Jika Anda hanya menentukan satu nilai tingkat keseriusan, kerentanan yang diklasifikasikan pada rating tingkat keseriusan yang lebih tinggi mungkin masih ada di image Anda, dan tidak akan memblokir build Anda.

Anda dapat menggunakan nilai berikut untuk SEVERITY:
- CRITICAL
- HIGH
- MEDIUM
- LOW
Anda dapat menentukan beberapa tingkat keparahan menggunakan ekspresi reguler.

Dalam contoh berikut, Anda menentukan nilai tingkat keparahan CRITICAL dan HIGH. Perintah ini menginstruksikan Cloud Build untuk memeriksa kerentanan yang diklasifikasikan pada atau di atas tingkat keparahan HIGH.
```
gcloud builds submit --substitutions=_PROJECT_ID=PROJECT_ID,_SEVERITY='"CRITICAL|HIGH"' \
--config cloudbuild.yaml
```
Di mana
- PROJECT_ID adalah project ID Anda.
- SEVERITY memungkinkan Anda menetapkan tingkat keparahan yang ingin diblokir. Jika Pemindaian Sesuai Permintaan menemukan kerentanan yang cocok dengan salah satu tingkat keparahan yang ditentukan, build Anda akan gagal.

Memahami hasil Anda

Saat Anda menyetel nilai SEVERITY ke CRITICAL|HIGH, setelah Pemindaian Sesuai Permintaan memindai kerentanan, pemindaian akan memeriksa apakah ada kerentanan di tingkat HIGH dan tingkat CRITICAL yang lebih parah. Jika tidak ada kerentanan yang cocok ditemukan di image Anda, build akan berhasil dan Cloud Build akan mengirimkan image Anda ke Artifact Registry.

Outputnya mirip dengan hal berikut ini:

DONE
--------------------------------------------------------------------------------------------------------------------------------------------

ID                                    CREATE_TIME                DURATION  SOURCE                                                                                         IMAGES                                                                        STATUS
abb3ce73-6ae8-41d1-9080-7d74a7ecd7bc  2021-03-15T06:50:32+00:00  1M48S     gs://ods-tests_cloudbuild/source/1615791031.906807-a648d10faf4a46d695c163186a6208d5.tgz  us-central1-docker.pkg.dev/ods-tests/ods-build-repo/ods-test (+1 more)  SUCCESS

Jika Pemindaian Sesuai Permintaan menemukan kerentanan HIGH atau CRITICAL dalam image Anda, langkah build scan akan gagal, langkah build berikutnya tidak akan dimulai, dan Cloud Build tidak akan mengirimkan image ke Artifact Registry.

Outputnya mirip dengan hal berikut ini:

Step #2 - "severity check": Failed vulnerability check
Finished Step #2 - "severity check"
ERROR
ERROR: build step 2 "gcr.io/cloud-builders/gcloud" failed: step exited with non-zero status: 1

Dalam tutorial ini, hasil Anda mungkin berbeda, karena kode sumber contoh adalah distribusi Linux yang tersedia untuk umum, debian10:latest. Distribusi Linux dan data kerentanan terkait menerima update secara berkelanjutan.

Untuk mempelajari alat dan praktik terbaik tambahan yang dapat membantu melindungi supply chain software Anda, lihat Keamanan supply chain software. Google Cloud

Untuk mengetahui informasi selengkapnya tentang praktik terbaik pengelolaan kerentanan Linux, Anda dapat menggunakan pelatihan online gratis yang disediakan oleh Linux Foundation. Lihat Mengembangkan Software yang Aman.