Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סריקה ידנית של חבילות Java

ה-On-Demand Scanning API מאפשר לסרוק תמונות שמאוחסנות באופן מקומי במחשב או מרחוק ב-Artifact Registry. אתם יכולים להשתמש בסריקה לפי דרישה כדי לסרוק תמונות בצינור עיבוד הנתונים של CI/CD, במטרה לזהות נקודות חולשה במערכת ונקודות חולשה בחבילות Java ‏ (Maven), לפני שתחליטו אם לאחסן אותן במאגר. מידע על המחירים מופיע בדף המחירים.

בדף הזה מוסבר איך לסרוק באופן ידני קובצי אימג' של קונטיינרים כדי לזהות פגיעויות במערכת ופגיעויות בחבילות Maven.

לפני שמתחילים

נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the On-Demand Scanning API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

התקינו את ה-CLI של Google Cloud.

אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the On-Demand Scanning API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

התקינו את ה-CLI של Google Cloud.

אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה:

gcloud init

מוסיפים את הרכיב local-extract להתקנה של Google Cloud CLI

באמצעות Component Manager של Google Cloud CLI

בפעם הראשונה שמריצים את פקודת הסריקה, מנהל הרכיבים יציג בקשה להתקנת הרכיבים הנדרשים.

שימוש במנהל החבילות של המערכת
- ל-Debian/Ubuntu:
```
sudo apt install google-cloud-sdk-local-extract
    
```
- ב-Red Hat/Fedora/CentOS:
```
sudo dnf install google-cloud-sdk-local-extract
    
```
  אפשרות אחרת היא להחליף את dnf ב-yum בפקודה הקודמת.
מקצים את תפקיד ה-IAM On-Demand Scanning Admin למשתמש או לחשבון השירות שבהם תשתמשו עם On-Demand Scanning. אם אתם משתמשים בחשבון שמוגדר כבעלים של הפרויקט כדי להריץ את הסריקות, אתם יכולים לדלג על השלב הזה.

סריקה של קובץ אימג' של קונטיינר

סריקה מקומית:
```
gcloud artifacts docker images scan IMAGE_URI \
    [--location=(us,europe,asia)] [--async]
```
אם התמונה נמצאת במחשב, צריך להשתמש באחד מהפורמטים הבאים עבור התג IMAGE_URI:
- REPOSITORY:TAG
- REPOSITORY
סריקה מרחוק:
```
gcloud artifacts docker images scan IMAGE_URI \
     --remote [--location=(us,europe,asia)] [--async]
```
אם התמונה נמצאת במיקום מרוחק, צריך להשתמש באחד מהפורמטים הבאים עבור התג IMAGE_URI:
- HOSTNAME/PROJECT_ID/REPOSITORY_ID/IMAGE_ID@sha256:HASH
- HOSTNAME/PROJECT_ID/REPOSITORY_ID/IMAGE_ID:HASH
- HOSTNAME/PROJECT_ID/REPOSITORY_ID/IMAGE_ID
- HOSTNAME/PROJECT_ID/IMAGE_ID@sha256:HASH
- HOSTNAME/PROJECT_ID/IMAGE_ID:HASH
- HOSTNAME/PROJECT_ID/IMAGE_ID
בתמונות ב-Artifact Registry, התג IMAGE_URI חייב לכלול את התג REPOSITORY_ID.

גם בסריקות מקומיות וגם בסריקות מרחוק, אפשר להשתמש בדגלים האופציונליים הבאים:

‫--location הוא דגל אופציונלי לבחירה ידנית של מספר האזורים שבהם מתבצעת הסריקה. בחירה של הגדרה של מספר אזורים שקרובה יותר למיקום הפיזי שלכם מצמצמת את זמן האחזור. המיקומים הזמינים הם: us, ‏ europe ו-asia. מיקום ברירת המחדל הוא us.
‫--async הוא דגל אופציונלי להפעלת תהליך הסריקה באופן אסינכרוני. אם לא תציינו את הדגל הזה, המסוף ייחסם עד שתהליך הסריקה יושלם.

סריקה סינכרונית

בדוגמה הבאה מוצג הפלט של סריקה סינכרונית, בלי הדגל --async:

$ gcloud artifacts docker images scan jenkins:2.60.3-alpine

✓ Scanning container image
  ✓ Locally extracting packages and versions from local container image
  ✓ Remotely initiating analysis of packages and versions
  ✓ Waiting for analysis operation to complete [projects/my-project/locations/us/operations/87d2e137-1d1c-4790-8e5e-daf6c96ae7d7]
Done.
done: true
metadata:
  '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesMetadata
  createTime: '2021-01-05T23:03:04.185261Z'
  resourceUri: jenkins:2.60.3-alpine
name: projects/my-project/locations/us/operations/87d2e137-1d1c-4790-8e5e-daf6c96ae7d7
response:
  '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesResponse
  scan: projects/my-project/locations/us/scans/2fe2bfb8-f0c5-4dd6-a8c8-38961869767a

משתמשים בשם הסריקה כדי לאחזר את תוצאות נקודות החולשה. בדוגמה, שם הסריקה הוא הערך של scanבשורה האחרונה של הודעת הפלט.

סריקה אסינכרונית

בדוגמה הבאה מוצג הפלט של סריקה אסינכרונית:

$ gcloud artifacts docker images scan jenkins:2.60.3-alpine --async

✓ Scanning container image
  ✓ Locally extracting packages and versions from local container image
  ✓ Remotely initiating analysis of packages and versions
Done.
Check operation [projects/cloud-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16] for status.
metadata:
  '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesMetadata
  createTime: '2021-01-05T23:04:54.393510Z'
  resourceUri: jenkins:2.60.3-alpine
name: projects/my-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16

הפעולה הזו מפעילה פעולה ממושכת ומחזירה את המזהה שלה בלי לחסום את הטרמינל. כדי לבדוק את הפעולה, צריך להשתמש במזהה הפעולה, הערך של name בשורה האחרונה של הודעת הפלט.

דגימה של פעולה ממושכת

משתמשים במזהה הפעולה מהפלט של פקודת הסריקה האסינכרונית כדי לבדוק את סטטוס הפעולה:

gcloud artifacts docker images get-operation LRO_ID

כאשר LRO_ID הוא מזהה הפעולה הממושכת.

בהמשך לדוגמה שבקטע סריקה אסינכרונית, כדי לבדוק את סטטוס הפעולה:

$ gcloud artifacts docker images get-operation \
  projects/cloud-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16

done: true
metadata:
  '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesMetadata
  createTime: '2021-01-05T23:04:54.393510Z'
  resourceUri: jenkins:2.60.3-alpine
name: projects/my-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16
response:
  '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesResponse
  scan: projects/my-project/locations/us/scans/2fe2bfb8-f0c5-4dd6-a8c8-38961869767a

אם הפלט כולל את השורה done: true, פעולת הסריקה הושלמה. משתמשים בשם הסריקה כדי לאחזר את תוצאות הפגיעות. שם הסריקה הוא הערך של scan בשורה האחרונה של הודעת הפלט.

אחזור תוצאות הסריקה

כדי לאחזר את תוצאות הסריקה אחרי שהסריקה מסתיימת, משתמשים בפקודה הבאה:

gcloud artifacts docker images list-vulnerabilities SCAN_NAME [--limit=X]

כאשר:

‫SCAN_NAME הוא שם הסריקה. אפשר למצוא אותו בשורה האחרונה של הפלט כשמריצים סריקה סינכרונית או שולחים שאילתות לגבי הפעולה ארוכת הטווח, אחרי שהסריקה מסתיימת.
‫--limit=X הוא דגל אופציונלי שמגביל את מספר המקרים שמוצגים בפלט. ‫X הוא ערך מספרי.

לדוגמה:

createTime: '2021-06-29T17:01:18.819477Z'
kind: VULNERABILITY
name: projects/my-project/locations/us/occurrences/06305977-f557-4772-8586-4260684291d3
noteName: projects/my-project/notes/CVE-2014-0114
resourceUri: jenkins:2.60.3-alpine
updateTime: '2021-06-29T17:01:18.819477Z'
vulnerability:
  cvssScore: 4.3
  effectiveSeverity: MEDIUM
  longDescription: http/conn/ssl/SSLConnectionSocketFactory.java in ...
  packageIssue:
  - affectedCpeUri: cpe:/o:alpine:alpine_linux:3.13
    affectedPackage: org.apache.httpcomponents:httpclient
    affectedVersion:
      fullName: 4.0.2
      kind: NORMAL
      name: 4.0.2
    effectiveSeverity: MEDIUM
    fixedCpeUri: cpe:/o:alpine:alpine_linux:3.13
    fixedPackage: org.apache.httpcomponents:httpclient
    fixedVersion:
      fullName: 4.3.6
      kind: NORMAL
      name: 4.3.6
    packageType: MAVEN
  relatedUrls:
  - label: More Info
    url: https://security-tracker.debian.org/tracker/CVE-2015-5262
  severity: MEDIUM
  shortDescription: CVE-2015-5262

הפלט של הפקודה הזו הוא רשימה של מקרים בפורמט Grafeas. במקרה הזה, מוצגת פגיעות אחת ברמת חומרה בינונית שנמצאה בתמונה. נקודות תורפה בחבילות Maven מכילות את השדה packageType:MAVEN.

תוצאות הסריקה זמינות למשך 48 שעות אחרי שהסריקה מסתיימת.

המאמרים הבאים

שימוש ב-On-Demand Scanning API בצינור Cloud Build.
משתמשים ב-Artifact Analysis כדי לסרוק ולעדכן באופן רציף את נתוני נקודות החולשה של התמונות שמאוחסנות ב-Artifact Registry.