La scansione dei pacchetti identifica le vulnerabilità esistenti e nuove nelle dipendenze open source per i pacchetti basati su linguaggio nei repository di Artifact Registry.
Consulta la sezione Prezzi per scoprire di più sui costi associati alla scansione dei pacchetti.
Questa panoramica presuppone che tu abbia già familiarità con l'utilizzo dei repository Docker in Artifact Registry.
Panoramica
Artifact Analysis esegue la scansione dei file in un pacchetto quando il pacchetto viene inviato ad Artifact Registry. Dopo la scansione iniziale, Artifact Registry continua a monitorare i metadati dei pacchetti scansionati per rilevare nuove vulnerabilità.
Per valutare le potenziali aree di rischio, Artifact Registry confronta le dipendenze in un file di configurazione del pacchetto con le vulnerabilità note. Puoi esaminare le potenziali vulnerabilità del tuo pacchetto in Artifact Analysis.
Analizza i pacchetti per rilevare le vulnerabilità
Artifact Analysis analizza i pacchetti nei repository Artifact Registry per identificare le vulnerabilità, nonché le dipendenze e le licenze in modo da poter comprendere la composizione del pacchetto.
Artifact Analysis esegue la scansione dei nuovi pacchetti quando vengono inviati ad Artifact Registry. Questo processo è chiamato scansione automatica. La scansione estrae informazioni sui file nel pacchetto. Dopo aver eseguito la scansione di un pacchetto, Artifact Analysis produce un report sulle vulnerabilità, che mostra le occorrenze di vulnerabilità per quel pacchetto. Le vulnerabilità vengono rilevate solo nei pacchetti monitorati pubblicamente per le vulnerabilità di sicurezza.
Analisi continua
Dopo la scansione di un pacchetto, Artifact Analysis monitora continuamente i metadati del pacchetto scansionato in Artifact Registry per rilevare nuove vulnerabilità.
Artifact Analysis riceve informazioni sulle vulnerabilità nuove e aggiornate da origini di vulnerabilità più volte al giorno. Quando arrivano nuovi dati sulle vulnerabilità, Artifact Analysis aggiorna le occorrenze di vulnerabilità esistenti, crea nuove occorrenze di vulnerabilità per le nuove note ed elimina le occorrenze di vulnerabilità non più valide.
Artifact Analysis continua a eseguire la scansione di immagini e pacchetti purché siano stati estratti negli ultimi 30 giorni. Dopo 30 giorni, i metadati delle immagini e dei pacchetti scansionati non verranno più aggiornati e i risultati saranno obsoleti.
Artifact Analysis archivia i metadati che sono rimasti inattivi per più di 90 giorni. Questi metadati archiviati possono essere valutati solo utilizzando l'API. Puoi eseguire di nuovo la scansione di un'immagine con metadati obsoleti o archiviati eseguendo il pull dell'immagine. L'aggiornamento dei metadati può richiedere fino a 24 ore. I pacchetti con metadati obsoleti o archiviati non possono essere analizzati di nuovo.
Tipi di pacchetti supportati
Quando esegui il push dei pacchetti in Artifact Registry, Artifact Analysis può eseguire la scansione per rilevare vulnerabilità.
La tabella seguente mostra i tipi di pacchetti che Artifact Analysis può scansionare:
| Scansione automatica con Artifact Registry | Scansione on demand | |
|---|---|---|
| Pacchetti Java | ||
| Pacchetti Python | ||
| Pacchetti Node.js |
Interfacce di Artifact Analysis
Nella console Google Cloud , puoi visualizzare le vulnerabilità e i metadati dei pacchetti in Artifact Registry.
Puoi utilizzare gcloud CLI per visualizzare vulnerabilità e metadati.
Puoi anche utilizzare l'API REST Artifact Analysis per eseguire una qualsiasi di queste azioni. Come per le altre API Cloud Platform, devi autenticare l'accesso utilizzando OAuth2.
L'API Artifact Analysis supporta sia gRPC che REST/JSON. Puoi effettuare chiamate all'API utilizzando le librerie client o curl per REST/JSON.
Fonti di vulnerabilità
La sezione seguente elenca le origini delle vulnerabilità che Artifact Analysis utilizza per ottenere i dati CVE.
Scansioni dei pacchetti di lingua
Artifact Analysis supporta analisi delle vulnerabilità per i file all'interno di un pacchetto. I dati sulle vulnerabilità vengono ottenuti dal database GitHub Advisory.
Nella maggior parte dei casi, a ogni vulnerabilità viene assegnato un ID CVE e questo ID diventa l'identificatore principale della vulnerabilità. Nei casi in cui non è presente un ID CVE assegnato a una vulnerabilità, viene assegnato un ID GHSA come identificatore. Se in un secondo momento a questa vulnerabilità viene assegnato un ID CVE, l'ID vulnerabilità viene aggiornato in modo che corrisponda al CVE. Per maggiori informazioni, consulta la sezione Verificare la presenza di una vulnerabilità specifica in un progetto.
Gestori di pacchetti e controllo delle versioni semantiche
- Java - Artifact Analysis supporta i pacchetti Maven che seguono le convenzioni di denominazione di Maven. Se la versione del pacchetto include spazi, non verrà scansionata.
- Node.js: la corrispondenza delle versioni dei pacchetti segue la specifica del controllo delle versioni semantico.
- Python: la corrispondenza della versione Python segue la semantica di PEP 440.
Limitazioni
Artifact Analysis esegue la scansione solo dei pacchetti con un massimo di 100 file.
Se esegui il push dello stesso pacchetto in più repository, ti viene addebitato un importo per ogni push. Per maggiori informazioni, consulta Prezzi di Artifact Analysis.
Passaggi successivi
- Per informazioni sulla visualizzazione delle vulnerabilità dei pacchetti e sul filtro delle occorrenze di vulnerabilità, vedi Eseguire automaticamente la scansione dei pacchetti.