סריקה ידנית של חבילות OS

במדריך למתחילים הזה מוסבר איך לשלוף קובץ אימג' של קונטיינר, לסרוק אותו ידנית כדי לזהות נקודות חולשה במערכת ההפעלה באמצעות On-Demand Scanning API, ולאחזר את נקודות החולשה שזוהו. כדי לבצע את המדריך למתחילים הזה, תשתמשו ב-Cloud Shell ובדוגמה של תמונת Ubuntu.

לפני שמתחילים

  1. נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the On-Demand Scanning API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the On-Demand Scanning API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.

הורדה וסריקה של תמונה

  1. פותחים את Cloud Shell בפרויקט.

    פתיחת Cloud Shell

    ייפתח חלון של Terminal עם כל הכלים שנדרשים כדי לפעול לפי המדריך הזה.

  2. משתמשים ב-Docker כדי למשוך את תמונת Ubuntu העדכנית.

    docker pull ubuntu:latest

  3. מריצים את הסריקה.

    gcloud artifacts docker images scan ubuntu:latest

    הפעולה הזו מפעילה את תהליך הסריקה ומחזירה את שם הסריקה כשהיא מסתיימת:

    ✓ Scanning container image
  ✓ Locally extracting packages and versions from local container image
  ✓ Remotely initiating analysis of packages and versions
  ✓ Waiting for analysis operation to complete [projects/my-project/locations/us/operations/OPERATION_ID]
Done.

done: true
metadata:
  '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesMetadata
  createTime: '2021-01-26T13:43:53.112123Z'
  resourceUri: ubuntu:latest
name: projects/my-project/locations/us/operations/OPERATION_ID
response:
  '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesResponse
  scan: projects/my-project/locations/us/scans/SCAN_ID

  4. כדי לאחזר את תוצאות הסריקה, משתמשים בשם הסריקה, שהוא הערך של scan מהפלט.

    gcloud artifacts docker images list-vulnerabilities \
projects/my-project/locations/us/scans/SCAN_ID

הסרת המשאבים

כדי לא לצבור חיובים לחשבון Google Cloud על המשאבים שבהם השתמשתם בדף הזה, פועלים לפי השלבים הבאים:

אם יצרתם פרויקט חדש לצורך המדריך הזה, אתם יכולים למחוק אותו עכשיו.

המאמרים הבאים