自动扫描包裹

本文档介绍了如何启用 Container Scanning API、将映像推送到 Artifact Registry,以及查看映像中发现的漏洞列表。

Artifact Analysis 会将漏洞信息存储为 备注Container Analysis 会为与映像相关联的备注的每个实例创建一个发生实例。如需了解详情,请参阅 概览价格文档。

准备工作

  1. 登录您的 Google Cloud 账号。如果您是新手 Google Cloud, 请创建一个账号来评估我们的产品在 实际场景中的表现。新客户还可获享 $300 赠金,用于 运行、测试和部署工作负载。

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Artifact Registry and Container Scanning APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. 安装 Google Cloud CLI。

  6. 如果您使用的是外部身份提供方 (IdP),则必须先使用联合身份登录 gcloud CLI

  7. 如需初始化 gcloud CLI,请运行以下命令: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Artifact Registry and Container Scanning APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  11. 安装 Google Cloud CLI。

  12. 如果您使用的是外部身份提供方 (IdP),则必须先使用联合身份登录 gcloud CLI

  13. 如需初始化 gcloud CLI,请运行以下命令: 

    gcloud init
  14. 在 Artifact Registry 中创建代码库,并将包含应用代码的软件包推送到该代码库。如果您不熟悉如何在 Artifact Registry 中管理软件包,请参阅以下主题:
    1. 在 Artifact Registry 中存储 Java 软件包
    2. 在 Artifact Registry 中存储 Node.js 软件包
    3. 在 Artifact Registry 中存储 Python 软件包

启用此 API 还会启用 Artifact Registry 中的语言软件包扫描功能。请参阅 支持的软件包类型

查看软件包漏洞

Artifact Analysis 会在新软件包上传到 Artifact Registry 时扫描这些软件包。此扫描可提取有关软件包及其依赖项的信息。

您可以使用控制台、Google Cloud CLI 或 Container Analysis API 查看 Artifact Registry 映像的漏洞事件。 Google Cloud 如果某个映像存在漏洞,您就可以获取详细信息。

只要映像和软件包在过去 30 天内被拉取过,Artifact Analysis 就会继续扫描它们。30 天后,系统将不再更新已扫描映像和软件包的元数据,并且结果将过时。

Artifact Analysis 会归档过时超过 90 天的元数据。只能使用 API 评估此归档的元数据。 您可以拉取映像来重新扫描包含过时或归档元数据的映像。 刷新元数据最多可能需要 24 小时。无法重新扫描包含过时或归档元数据的软件包。

在 Google Cloud 控制台中查看发生实例

如需查看软件包中的漏洞,请执行以下操作:

  1. 获取代码库列表。

    打开“代码库”页面

  2. 在代码库列表中,点击一个代码库。

  3. 在软件包列表中,点击软件包名称。

    每个软件包的漏洞总数将显示在漏洞 列中。

    存在漏洞的扫描软件包

  4. 如需查看软件包的漏洞列表,请点击漏洞 列中的链接。

    扫描结果 部分会显示扫描的软件包类型、漏洞总数、可修复的漏洞、无法修复的漏洞和有效严重级别的摘要。

    “扫描结果”页面,其中列出了漏洞、修复和有效严重程度

    漏洞表会列出找到的每个漏洞的常见漏洞和披露 (CVE) 名称、 有效严重级别、 常见漏洞评分系统 (CVSS) 得分、修复(如果有)、 包含漏洞的软件包的名称以及软件包 类型。您可以过滤和排序这些文件,以按文件扩展名检查特定文件、目录、 或文件类型。 Google Cloud 控制台在此表中每页最多显示 1200 个漏洞。

  5. 如需了解特定 CVE 的详细信息,请点击 CVE 名称。

  6. 如需查看漏洞出现详细信息(例如版本号和受影响的位置),请在包含漏洞名称的行中,点击查看查看已修复 。对于无法修复的漏洞,链接文本为查看 ;对于已应用修复的漏洞,链接文本为查看已修复

使用 gcloud 查看发生实例

如需查看 Artifact Registry 中软件包的发生实例,请运行 gcloud artifacts versions describe 命令:

gcloud artifacts versions describe VERSION \
    --location=LOCATION --repository=REPOSITORY --package=PACKAGE --show-package-vulnerability

其中:

  • VERSION 是您要查看其发生实例的软件包的版本。
  • LOCATION 是代码库的单区域或多区域 位置
  • REPOSITORY 是存储了软件包 的代码库的名称。
  • PACKAGE 是代码库中的软件包名称。 您无法使用此命令指定软件包标记。

使用 API 查看发生实例

如需获取项目中发生实例的列表,请使用以下命令:

 curl -X GET -H "Content-Type: application/json" -H \
    "Authorization: Bearer $(gcloud auth print-access-token)" \
    https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences

如需获取项目中漏洞的汇总,请使用以下命令:

 curl -X GET -H "Content-Type: application/json" -H \
    "Authorization: Bearer $(gcloud auth print-access-token)" \
    https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences:vulnerabilitySummary

如需获取特定发生实例的详细信息,请使用以下命令:

 curl -X GET -H "Content-Type: application/json" -H \
    "Authorization: Bearer $(gcloud auth print-access-token)" \
    https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences/OCCURRENCE_ID

过滤发生实例

您可以在 gcloud 命令和 Artifact Analysis API 中使用过滤条件字符串,以便在查看发生实例之前对其进行过滤。以下部分介绍了支持的搜索过滤条件。

查看特定类型的发生实例

您可以使用 kind 值按发生实例类型进行过滤。请参阅可用 种类

以下示例演示了如何过滤软件包漏洞发生实例:

gcloud

Google Cloud CLI 不支持基于软件包的扫描的发生实例过滤。

API

在 API 查询中,使用以下过滤表达式:

kind="PACKAGE_VULNERABILITY" AND resourceUrl="RESOURCE_URL"

其中:

  • PACKAGE_VULNERABILITY 是发生实例的 种类
  • RESOURCE_URL 是软件包的完整网址,格式为 projects/PROJECT_ID/locations/LOCATION/repositories/REPOSITORY_ID/packages/PACKAGE_ID/PACKAGE_TYPE/VERSION_ID:
    • PROJECT_ID 是您的 Google Cloud 控制台 项目 ID
    • LOCATION 是代码库的单区域或多区域 位置
    • REPOSITORY 是存储了映像 的代码库的名称。
    • PACKAGE_ID 是存储了映像 的软件包的名称。
    • PACKAGE_TYPE 是应用语言软件包类型。 可用类型包括:pythonPackagesmavenArtifactsnpmPackages
    • VERSION 是软件包的版本号。

您可以使用 hasPrefix 函数来扩大过滤范围。

例如,以下过滤条件用于过滤同一软件包的多个版本的特定种类的发生实例:

kind="NOTE_KIND" AND has_prefix(resourceUrl, "RESOURCE_URL_PREFIX")

其中:

  • RESOURCE_URL_PREFIX 指定资源网址中的子字符串。
    • 如需过滤软件包的所有版本,请省略版本。使用以下格式:projects/PROJECT_ID/locations/LOCATION/repositories/REPOSITORY_ID
    • 如需过滤项目中的所有软件包,只需指定资源位置和项目。使用以下格式:projects/PROJECT_ID/locations/LOCATION

查看漏洞发生实例

您可以使用 gcloud CLI 或 Artifact Analysis API 查看漏洞发生实例列表。

gcloud

如需检索软件包的漏洞发生实例列表,请使用 --show-package-vulnerability 标志:

gcloud artifacts versions describe VERSION_ID --repository=REPOSITORY_ID
  --package=GROUP_ID:ARTIFACT_ID --show-package-vulnerability

其中:

  • VERSION 是软件包的版本号。
  • REPOSITORY 是存储了软件包 的代码库的名称。
  • GROUP_ID 是软件包的组标识符。
  • ARTIFACT_ID 是软件包的制品标识符。

API

在 API 查询中,使用以下过滤表达式:

GET https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences?filter=kind%3D%22VULNERABILITY%22%20AND%20resourceUrl%3D%22ENCODED_RESOURCE_URL%22

其中:

  • ENCODED_RESOURCE_URL 是映像的编码路径。如需了解编码,请参阅 网址编码

如需详细了解如何使用 API,请参阅 projects.occurrences.get

查看与特定笔记相关联的映像

您可以检索与特定备注 ID 相关联的资源列表。 例如,您可以列出具有特定 CVE 漏洞的映像。

如需列出项目中与特定备注相关联的所有映像,请使用以下过滤表达式:

gcloud

Google Cloud CLI 不支持基于软件包的扫描的发生实例过滤。

API 

GET https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences?filter=noteProjectId%3D%22goog-vulnz%22%20AND%20resourceUrl%3D%22ENCODED_RESOURCE_URL%22%20AND%20noteId%3D%22NOTE_ID%22

其中:

  • goog-vulnz 是 Artifact Analysis 漏洞分析的 PROVIDER_PROJECT_ID。如果您在自定义项目中使用 Artifact Analysis,则可以将此值替换为您自己的提供方项目 ID。
  • ENCODED_RESOURCE_URL 是映像的编码路径。如需了解编码,请参阅 网址编码
  • NOTE_ID 是备注的 ID。例如,当您在 Artifact Analysis 扫描结果中看到 漏洞时,它通常会 使用 类似于 CVE-2019-12345 的 CVE ID 格式。

如需检查特定备注的特定映像,请使用以下过滤条件表达式:

gcloud

Google Cloud CLI 不支持基于软件包的扫描的发生实例过滤。

API

在 API 查询中,添加以下过滤表达式:

resourceUrl="RESOURCE_URL" AND noteProjectId="goog-vulnz" \
AND noteId="NOTE_ID"

其中:

  • RESOURCE_URL 是软件包的完整网址,格式为 projects/PROJECT_ID/locations/LOCATION/repositories/REPOSITORY_ID/packages/PACKAGE_ID/PACKAGE_TYPE/VERSION_ID
  • goog-vulnz 是 Artifact Analysis 漏洞分析的 PROVIDER_PROJECT_ID
  • NOTE_ID 是备注的 ID。安全相关备注的格式通常为 CVE-2019-12345

后续步骤