סריקת חבילות מזהה פגיעויות קיימות וחדשות בתלות בקוד פתוח בחבילות מבוססות-שפה במאגרי Artifact Registry.
במאמר בנושא תמחור אפשר לקבל מידע נוסף על העלויות שקשורות לסריקת חבילות.
סקירה כללית זו מניחה שאתם כבר מכירים את השימוש במאגרי Docker ב-Artifact Registry.
סקירה כללית
הכלי Artifact Analysis סורק את הקבצים בחבילה כשהחבילה נדחפת אל Artifact Registry. אחרי הסריקה הראשונית, Artifact Registry ממשיך לעקוב אחרי המטא-נתונים של החבילות שנסרקו כדי לזהות נקודות חולשה חדשות.
כדי להעריך אזורים פוטנציאליים של סיכון, Artifact Registry משווה את התלויות בקובץ הגדרות של חבילה מול פגיעויות ידועות. אפשר לבדוק את החבילה כדי לזהות נקודות חולשה פוטנציאליות באמצעות Artifact Analysis.
סריקת חבילות לאיתור נקודות חולשה
הכלי Artifact Analysis סורק חבילות במאגרי Artifact Registry כדי לזהות נקודות חולשה, וגם כדי לזהות תלות ורישיונות, וכך מאפשר לכם להבין את הרכב החבילה.
Artifact Analysis סורק חבילות חדשות כשהן נדחפות ל-Artifact Registry. התהליך הזה נקרא סריקה אוטומטית. הסריקה מחלצת מידע על הקבצים בחבילה. אחרי סריקת חבילה, Artifact Analysis יוצר דוח נקודות חולשה שמציג את המקרים של נקודות החולשה בחבילה. המערכת מזהה נקודות חולשה רק בחבילות שנמצאות במעקב ציבורי לצורך זיהוי נקודות חולשה באבטחה.
ניתוח מתמשך
אחרי שחבילה נסרקת, Artifact Analysis עוקב באופן רציף אחרי המטא-נתונים של החבילה שנסרקה ב-Artifact Registry כדי לזהות נקודות חולשה חדשות.
הכלי Artifact Analysis מקבל מידע חדש ומעודכן על נקודות חולשה ממקורות פגיעויות כמה פעמים ביום. כשמגיעים נתונים חדשים של פגיעויות, הכלי Artifact Analysis מעדכן את המקרים הקיימים של פגיעויות, יוצר מקרים חדשים של פגיעויות עבור הערות חדשות ומוחק מקרים של פגיעויות שכבר לא תקפים.
Artifact Analysis ממשיך לסרוק תמונות וחבילות כל עוד הן נמשכו ב-30 הימים האחרונים. אחרי 30 יום, המטא-נתונים של תמונות וחבילות שנסרקו לא יתעדכנו יותר, והתוצאות יהיו ישנות.
בניתוח ארטיפקטים, מטא-נתונים שלא עודכנו במשך יותר מ-90 יום נשמרים בארכיון. אפשר להעריך את המטא-נתונים האלה בארכיון רק באמצעות ה-API. כדי לסרוק מחדש תמונה עם מטא-נתונים לא עדכניים או מטא-נתונים שהועברו לארכיון, צריך לשלוף את התמונה. רענון המטא-נתונים יכול להימשך עד 24 שעות. אי אפשר לסרוק מחדש חבילות עם מטא-נתונים לא עדכניים או כאלה שהועברו לארכיון.
סוגי חבילות נתמכים
כשדוחפים חבילות ל-Artifact Registry, Artifact Analysis יכול לסרוק חולשות.
בטבלה הבאה מוצגים סוגי החבילות שניתן לסרוק באמצעות Artifact Analysis:
| סריקה אוטומטית באמצעות Artifact Registry | סריקה לפי דרישה | |
|---|---|---|
| חבילות Java | ||
| חבילות Python | ||
| חבילות Node.js |
ממשקים של Artifact Analysis
במסוף Google Cloud , אפשר לראות את נקודות החולשה ואת המטא-נתונים של חבילות ב-Artifact Registry.
אתם יכולים להשתמש ב-CLI של gcloud כדי לראות את נקודות החולשה ואת המטא-נתונים.
אפשר גם להשתמש ב-Artifact Analysis API בארכיטקטורת REST כדי לבצע את הפעולות האלה. כמו בממשקי API אחרים של Cloud Platform, צריך לאמת את הגישה באמצעות OAuth2.
ה-Artifact Analysis API תומך גם ב-gRPC וגם ב-REST/JSON. אפשר לבצע קריאות ל-API באמצעות ספריות לקוח או באמצעות curl ל-REST/JSON.
מקורות של נקודות חולשה
בקטע הבא מפורטים מקורות נקודות החולשה שבהם משתמש Artifact Analysis כדי לקבל נתוני CVE.
סריקות של חבילות שפה
הכלי Artifact Analysis תומך בסריקת פגיעויות בקבצים בחבילה. הנתונים על נקודות החולשה מתקבלים ממאגר המידע של GitHub Advisory.
ברוב המקרים, לכל פגיעות מוקצה מזהה CVE, והמזהה הזה הופך למזהה העיקרי של הפגיעות. במקרים שבהם לא מוקצה מזהה CVE לפגיעות, מוקצה מזהה GHSA כמזהה במקום זאת. אם בהמשך יוקצה לממשק הזה מזהה CVE, מזהה הפגיעות יעודכן בהתאם. מידע נוסף זמין במאמר בדיקת פגיעות ספציפית בפרויקט.
מערכות ניהול חבילות וניהול גרסאות סמנטי
- Java – Artifact Analysis תומך בחבילות Maven שעומדות במוסכמות למתן שמות ב-Maven. אם גרסת החבילה כוללת רווחים, היא לא תיסרק.
- Node.js – התאמת גרסאות של חבילות מתבצעת בהתאם למפרט של ניהול גרסאות סמנטי.
- Python – התאמת גרסת Python מתבצעת לפי הסמנטיקה של PEP 440.
מגבלות
Artifact Analysis סורק רק חבילות עם 100 קבצים או פחות.
אם מעלים את אותו חבילה לכמה מאגרי מידע, תחויבו על כל העלאה. מידע נוסף זמין במאמר תמחור של Artifact Analysis.
המאמרים הבאים
- מידע על צפייה בפגיעויות בחבילות וסינון מקרים של פגיעויות זמין במאמר בנושא סריקת חבילות באופן אוטומטי.