סריקה אוטומטית של חבילות

במאמר הזה מוסבר איך להפעיל את Container Scanning API, להעביר קובץ אימג' ל-Artifact Registry ולראות את רשימת נקודות החולשה שנמצאו בקובץ האימג'.

ב-Artifact Analysis, פרטי הפגיעות מאוחסנים כהערות. מופע נוצר לכל מופע של הערה שמשויכת לתמונה. מידע נוסף זמין במאמרים בנושא סקירה כללית ותמחור.

לפני שמתחילים

נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Artifact Registry and Container Scanning APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

התקינו את ה-CLI של Google Cloud.

אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Artifact Registry and Container Scanning APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

התקינו את ה-CLI של Google Cloud.

אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה:

gcloud init

1. יוצרים מאגר ב-Artifact Registry ומעלים אליו חבילה עם קוד האפליקציה. אם אתם לא מכירים את ניהול החבילות ב-Artifact Registry, כדאי לעיין בנושאים הבאים:
   1. איך מאחסנים חבילות Java ב-Artifact Registry
   2. איך מאחסנים חבילות Node.js ב-Artifact Registry
   3. אחסון חבילות Python ב-Artifact Registry

הפעלת ה-API הזה מפעילה גם סריקה של חבילות שפה ב-Artifact Registry. סוגי החבילות הנתמכים

הצגת נקודות החולשה בחבילה

הכלי Artifact Analysis סורק חבילות חדשות כשהן מועלות אל Artifact Registry. בסריקה הזו מחולץ מידע על החבילה ועל התלות שלה.

אתם יכולים לראות את המקרים של פגיעויות בתמונות שלכם ב-Artifact Registry באמצעות מסוף Google Cloud , Google Cloud CLI או Container Analysis API. אם בתמונה יש נקודות חולשה, אפשר לקבל את הפרטים שלהן.

Artifact Analysis ממשיך לסרוק תמונות וחבילות כל עוד הן נמשכו ב-30 הימים האחרונים. אחרי 30 יום, המטא-נתונים של תמונות וחבילות שנסרקו לא יתעדכנו יותר, והתוצאות יהיו ישנות.

בניתוח ארטיפקטים, מטא-נתונים שלא עודכנו במשך יותר מ-90 יום נשמרים בארכיון. אפשר להעריך את המטא-נתונים האלה בארכיון רק באמצעות ה-API. כדי לסרוק מחדש תמונה עם מטא-נתונים לא עדכניים או מטא-נתונים שהועברו לארכיון, צריך לשלוף את התמונה. רענון המטא-נתונים יכול להימשך עד 24 שעות. אי אפשר לסרוק מחדש חבילות עם מטא-נתונים לא עדכניים או כאלה שהועברו לארכיון.

צפייה במקרים במסוף Google Cloud

כדי לראות את נקודות החולשה בחבילה:

1. מקבלים את רשימת המאגרים.

   פתיחת הדף Repositories

2. ברשימת המאגרים, לוחצים על מאגר.

3. ברשימת החבילות, לוחצים על שם החבילה.

   הסכומים הכוללים של נקודות החולשה בכל חבילה מוצגים בעמודה Vulnerabilities (נקודות חולשה).

   

4. כדי לראות את רשימת נקודות החולשה בחבילה, לוחצים על הקישור בעמודה Vulnerabilities (נקודות חולשה).

   בקטע תוצאות הסריקה מוצג סיכום של סוגי החבילות שנסרקו, נקודות החולשה הכוללות, נקודות החולשה שיש להן תיקונים זמינים, נקודות החולשה שאין להן תיקונים ורמת החומרה האפקטיבית.

   

   בטבלת נקודות החולשה מפורטים השם של נקודת החולשה הנפוצה (CVE) שנמצאה, רמת החומרה האפקטיבית, הציון של Common Vulnerability Scoring System (CVSS), תיקונים (אם יש), שם החבילה שמכילה את נקודת החולשה וסוג החבילה. אפשר לסנן ולמיין את הקבצים האלה כדי לבדוק קובץ ספציפי, ספרייה או סוג קובץ לפי סיומת הקובץ. Google Cloud בטבלה הזו מוצגות עד 1,200 נקודות פגיעות בכל דף.

5. כדי לראות פרטים על CVE ספציפי, לוחצים על השם של ה-CVE.

6. כדי לראות פרטים על המקרים שבהם נמצאה פגיעות, כמו מספר הגרסה והמיקום שנפגע, לוחצים על הצגה או על הצגת הפגיעות שתוקנה בשורה עם שם הפגיעות. טקסט הקישור הוא View (הצגה) עבור פגיעויות ללא תיקון, ו-View Fixed (הצגת התיקון) עבור פגיעויות שבוצע בהן תיקון.

צפייה במקרים באמצעות gcloud

כדי לראות את המופעים של חבילות ב-Artifact Registry, מריצים את הפקודה gcloud artifacts versions describe:

gcloud artifacts versions describe VERSION \
    --location=LOCATION --repository=REPOSITORY --package=PACKAGE --show-package-vulnerability

כאשר:

• ‫VERSION היא הגרסה של החבילה שאת המופעים שלה אתם רואים.
• ‫LOCATION הוא המיקום האזורי או המיקום במספר אזורים של המאגר.
• ‫REPOSITORY הוא שם המאגר שבו מאוחסנת החבילה.
• ‫PACKAGE הוא שם החבילה במאגר. אי אפשר לציין תג חבילה באמצעות הפקודה הזו.

צפייה במקרים באמצעות ה-API

כדי לקבל רשימה של מקרים בפרויקט:

 curl -X GET -H "Content-Type: application/json" -H \
    "Authorization: Bearer $(gcloud auth print-access-token)" \
    https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences

כדי לקבל סיכום של נקודות התורפה בפרויקט:

 curl -X GET -H "Content-Type: application/json" -H \
    "Authorization: Bearer $(gcloud auth print-access-token)" \
    https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences:vulnerabilitySummary

כדי לקבל פרטים על מופע ספציפי:

 curl -X GET -H "Content-Type: application/json" -H \
    "Authorization: Bearer $(gcloud auth print-access-token)" \
    https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences/OCCURRENCE_ID

סינון מופעים

אפשר להשתמש במחרוזות סינון בפקודות gcloud וב-Artifact Analysis API כדי לסנן מקרים לפני הצגתם. בקטעים הבאים מתוארים מסנני החיפוש הנתמכים.

צפייה במקרים מסוג מסוים

אפשר להשתמש בערך kind כדי לסנן לפי סוג המופע. אפשר לראות את הסוגים הזמינים.

בדוגמאות הבאות אפשר לראות איך מסננים מקרים של פגיעויות בחבילות:

kind="PACKAGE_VULNERABILITY" AND resourceUrl="RESOURCE_URL"

kind="NOTE_KIND" AND has_prefix(resourceUrl, "RESOURCE_URL_PREFIX")

צפייה במקרים של נקודות חולשה

אפשר לראות רשימות של מקרים של פגיעויות באמצעות gcloud CLI או Artifact Analysis API.

gcloud artifacts versions describe VERSION_ID --repository=REPOSITORY_ID
  --package=GROUP_ID:ARTIFACT_ID --show-package-vulnerability

GET https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences?filter=kind%3D%22VULNERABILITY%22%20AND%20resourceUrl%3D%22ENCODED_RESOURCE_URL%22

הצגת תמונות שמשויכות לפתק ספציפי

אפשר לאחזר רשימה של משאבים שמשויכים למזהה הערה ספציפי. לדוגמה, אתם יכולים להציג רשימה של תמונות עם נקודת תורפה ספציפית של CVE.

כדי להציג רשימה של כל התמונות בפרויקט שמשויכות להערה מסוימת, משתמשים במסנן הבא:

GET https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences?filter=noteProjectId%3D%22goog-vulnz%22%20AND%20resourceUrl%3D%22ENCODED_RESOURCE_URL%22%20AND%20noteId%3D%22NOTE_ID%22

כדי לבדוק אם יש הערה ספציפית בתמונה מסוימת, משתמשים במסנן הבא:

resourceUrl="RESOURCE_URL" AND noteProjectId="goog-vulnz" \
AND noteId="NOTE_ID"

המאמרים הבאים

• שימוש בהתראות Pub/Sub כדי לקבל התראות על פגיעויות ומטא-נתונים אחרים.