Pemindaian paket mengidentifikasi kerentanan yang ada dan baru dalam dependensi open source untuk paket berbasis bahasa di repositori Artifact Registry Anda.
Lihat harga untuk mempelajari lebih lanjut biaya yang terkait dengan pemindaian paket.
Ringkasan ini mengasumsikan bahwa Anda sudah memahami penggunaan repositori Docker di Artifact Registry.
Ringkasan
Artifact Analysis memindai file dalam paket saat paket dikirim ke Artifact Registry. Setelah pemindaian awal, Artifact Registry akan terus memantau metadata paket yang dipindai untuk mencari kerentanan baru.
Untuk mengevaluasi potensi area risiko, Artifact Registry mencocokkan dependensi dalam file konfigurasi paket dengan kerentanan yang diketahui. Anda dapat meninjau potensi kerentanan dalam paket Anda di Analisis Artefak.
Memindai paket untuk mendeteksi kerentanan
Artifact Analysis memindai paket di repositori Artifact Registry Anda untuk mengidentifikasi kerentanan, serta mengidentifikasi dependensi dan lisensi sehingga Anda dapat memahami komposisi paket Anda.
Artifact Analysis memindai paket baru saat dikirim ke Artifact Registry. Proses ini disebut pemindaian otomatis. Pemindaian akan mengekstrak informasi tentang file dalam paket. Setelah memindai paket, Artifact Analysis akan menghasilkan laporan kerentanan, yang menunjukkan kemunculan kerentanan untuk paket tersebut. Kerentanan hanya terdeteksi di paket yang dipantau secara publik untuk menemukan kerentanan keamanan.
Analisis berkelanjutan
Setelah paket dipindai, Artifact Analysis terus memantau metadata paket yang dipindai di Artifact Registry untuk mencari kerentanan baru.
Artifact Analysis menerima informasi kerentanan baru dan yang diperbarui dari sumber kerentanan beberapa kali setiap hari. Saat data kerentanan baru tiba, Artifact Analysis akan memperbarui kemunculan kerentanan yang ada, membuat kemunculan kerentanan baru untuk catatan baru, dan menghapus kemunculan kerentanan yang tidak lagi valid.
Analisis Artefak terus memindai gambar dan paket selama gambar dan paket tersebut telah ditarik dalam 30 hari terakhir. Setelah 30 hari, metadata untuk gambar dan paket yang dipindai tidak akan diperbarui lagi, dan hasilnya akan menjadi tidak valid.
Artifact Analysis mengarsipkan metadata yang sudah tidak aktif selama lebih dari 90 hari. Metadata yang diarsipkan ini hanya dapat dievaluasi menggunakan API. Anda dapat memindai ulang gambar dengan metadata yang tidak berlaku atau diarsipkan dengan menarik gambar tersebut. Memperbarui metadata dapat memerlukan waktu hingga 24 jam. Paket dengan metadata yang tidak berlaku atau diarsipkan tidak dapat dipindai ulang.
Jenis paket yang didukung
Saat Anda mengirim paket ke Artifact Registry, Artifact Analysis dapat memindai kerentanan.
Tabel berikut menunjukkan jenis paket yang dapat dipindai oleh Artifact Analysis:
| Pemindaian otomatis dengan Artifact Registry | Pemindaian sesuai permintaan | |
|---|---|---|
| Paket Java | ||
| Paket Python | ||
| Paket Node.js |
Antarmuka Artifact Analysis
Di konsol Google Cloud , Anda dapat melihat kerentanan dan metadata untuk paket di Artifact Registry.
Anda dapat menggunakan gcloud CLI untuk melihat kerentanan dan metadata.
Anda juga dapat menggunakan Artifact Analysis REST API untuk melakukan salah satu tindakan ini. Seperti API Cloud Platform lainnya, Anda harus mengautentikasi akses menggunakan OAuth2.
Artifact Analysis API mendukung gRPC dan REST/JSON. Anda dapat melakukan panggilan ke API menggunakan library klien atau menggunakan curl untuk REST/JSON.
Sumber kerentanan
Bagian berikut mencantumkan sumber kerentanan yang digunakan Analisis Artefak untuk mendapatkan data CVE.
Pemindaian paket bahasa
Artifact Analysis mendukung pemindaian kerentanan untuk file dalam paket. Data kerentanan diperoleh dari GitHub Advisory Database.
Biasanya, setiap kerentanan diberi ID CVE dan ID ini menjadi ID utama untuk kerentanan tersebut. Jika tidak ada ID CVE yang ditetapkan untuk kerentanan, ID GHSA akan ditetapkan sebagai ID. Jika kemudian kerentanan tersebut mendapatkan ID CVE, maka ID kerentanan akan diperbarui agar cocok dengan CVE. Lihat Memeriksa kerentanan tertentu dalam project untuk mengetahui informasi selengkapnya.
Pengelola paket dan pembuatan versi semantik
- Java - Analisis Artefak mendukung paket Maven yang mengikuti konvensi penamaan Maven. Jika versi paket menyertakan spasi, paket tidak akan dipindai.
- Node.js - Pencocokan versi paket mengikuti spesifikasi pembuatan versi semantik.
- Python - Pencocokan versi Python mengikuti semantik PEP 440.
Batasan
Analisis Artefak hanya memindai paket dengan 100 file atau kurang.
Jika Anda mengirimkan paket yang sama ke beberapa repositori, Anda akan ditagih untuk setiap pengiriman. Untuk mengetahui informasi selengkapnya, lihat harga Artifact Analysis.
Langkah berikutnya
- Untuk mengetahui informasi tentang cara melihat kerentanan paket dan memfilter kemunculan kerentanan, lihat Memindai paket secara otomatis.