Analizar paquetes del SO manualmente

La API On-Demand Scanning te permite analizar imágenes almacenadas de forma local en tu ordenador o de forma remota en Artifact Registry. De esta forma, tendrás un control detallado sobre los contenedores que quieras analizar para detectar vulnerabilidades. Puedes usar el análisis bajo demanda para analizar imágenes en tu flujo de procesamiento de CI/CD antes de decidir si quieres almacenarlas en un registro. Consulta la página de precios para obtener información sobre los precios.

En esta página se describe cómo analizar manualmente imágenes de contenedor con On-Demand Scanning.

Antes de empezar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the On-Demand Scanning API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. Install the Google Cloud CLI.

  6. Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

  7. Para inicializar gcloud CLI, ejecuta el siguiente comando: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the On-Demand Scanning API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  11. Install the Google Cloud CLI.

  12. Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

  13. Para inicializar gcloud CLI, ejecuta el siguiente comando: 

    gcloud init

  14. Añade el componente local-extract a tu instalación de la CLI de Google Cloud

    Usar el gestor de componentes de Google Cloud CLI

    El gestor de componentes te pedirá que instales los componentes necesarios la primera vez que ejecutes el comando de análisis.

    Usar el gestor de paquetes del sistema

    • En Debian o Ubuntu: 
      sudo apt install google-cloud-sdk-local-extract
    • En Red Hat, Fedora o CentOS: 
      sudo dnf install google-cloud-sdk-local-extract

      También puedes sustituir dnf por yum en el comando anterior.

  15. Asigna el rol de IAM Administrador de análisis bajo demanda al usuario o a la cuenta de servicio que vayas a usar con Análisis bajo demanda. Si usas la cuenta de propietario del proyecto para ejecutar los análisis, puedes saltarte este paso.

    16. Analizar una imagen de contenedor

    • Búsqueda local:

      gcloud artifacts docker images scan IMAGE_URI \
    [--location=(us,europe,asia)] [--async]

      En el caso de una imagen local, utiliza uno de los siguientes formatos para el elemento IMAGE_URI:

      • REPOSITORY:TAG
      • REPOSITORY

    • Análisis remoto:

      gcloud artifacts docker images scan IMAGE_URI \
    --remote [--location=(us,europe,asia)] [--async]

      En el caso de una imagen remota, usa uno de los siguientes formatos para el elemento IMAGE_URI:

      • HOSTNAME/PROJECT_ID/REPOSITORY_ID/IMAGE_ID@sha256:HASH
      • HOSTNAME/PROJECT_ID/REPOSITORY_ID/IMAGE_ID:HASH
      • HOSTNAME/PROJECT_ID/REPOSITORY_ID/IMAGE_ID
      • HOSTNAME/PROJECT_ID/IMAGE_ID@sha256:HASH
      • HOSTNAME/PROJECT_ID/IMAGE_ID:HASH
      • HOSTNAME/PROJECT_ID/IMAGE_ID

      En el caso de las imágenes de Artifact Registry, el IMAGE_URI debe incluir el REPOSITORY_ID.

    Tanto en los análisis locales como en los remotos, puedes usar las siguientes marcas opcionales:

    • --location es una marca para seleccionar manualmente la multirregión en la que se realiza el análisis. Si eliges una multirregión más cercana a tu ubicación física, se minimizará la latencia. Las ubicaciones disponibles son us, europe y asia. La ubicación predeterminada es us.

    • --async es una marca para ejecutar el proceso de análisis de forma asíncrona. Si omite esta marca, su terminal se bloqueará hasta que se complete el proceso de escaneo.

    Análisis síncrono

    En el siguiente ejemplo se muestra el resultado de un análisis síncrono sin la marca --async:

    $ gcloud artifacts docker images scan ubuntu:latest


✓ Scanning container image
  ✓ Locally extracting packages and versions from local container image
  ✓ Remotely initiating analysis of packages and versions
  ✓ Waiting for analysis operation to complete [projects/my-project/locations/us/operations/87d2e137-1d1c-4790-8e5e-daf6c96ae7d7]
Done.
done: true
metadata:
  '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesMetadata
  createTime: '2021-01-05T23:03:04.185261Z'
  resourceUri: ubuntu:latest
name: projects/my-project/locations/us/operations/87d2e137-1d1c-4790-8e5e-daf6c96ae7d7
response:
  '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesResponse
  scan: projects/my-project/locations/us/scans/2fe2bfb8-f0c5-4dd6-a8c8-38961869767a

    Usa el nombre del análisis para recuperar los resultados de vulnerabilidades. El nombre del análisis es el valor de scan en la última línea del mensaje de salida.

    Análisis asíncrono

    En el siguiente ejemplo se muestra el resultado de una comprobación asíncrona:

    $ gcloud artifacts docker images scan ubuntu:latest --async


✓ Scanning container image
  ✓ Locally extracting packages and versions from local container image
  ✓ Remotely initiating analysis of packages and versions
Done.
Check operation [projects/cloud-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16] for status.
metadata:
  '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesMetadata
  createTime: '2021-01-05T23:04:54.393510Z'
  resourceUri: ubuntu:latest
name: projects/my-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16

    Se inicia una operación de larga duración y se devuelve su ID sin bloquear tu terminal. Usa el ID de operación, el valor de name en la última línea del mensaje de salida, para sonde la operación.

    Sondear la operación de larga duración

    Usa el ID de operación, que se muestra en el resultado del comando de análisis asíncrono, para comprobar el estado de la operación.

    gcloud artifacts docker images get-operation LRO_ID

    donde LRO_ID es el ID de la operación de larga duración.

    Siguiendo con el ejemplo de la sección de análisis asíncrono, para comprobar el estado de la operación, haz lo siguiente:

    $ gcloud artifacts docker images get-operation \
  projects/cloud-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16

done: true
metadata:
  '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesMetadata
  createTime: '2021-01-05T23:04:54.393510Z'
  resourceUri: ubuntu:latest
name: projects/my-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16
response:
  '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesResponse
  scan: projects/my-project/locations/us/scans/2fe2bfb8-f0c5-4dd6-a8c8-38961869767a

    Si el resultado incluye la línea done: true, la operación de análisis se habrá completado. Usa el nombre del análisis para obtener los resultados de vulnerabilidades. El nombre es el valor de scan en la última línea del mensaje de salida.

    Recuperar los resultados del análisis

    Para obtener los resultados del análisis una vez que se haya completado, usa el siguiente comando:

    gcloud artifacts docker images list-vulnerabilities SCAN_NAME [--limit=X]

    Donde:

    • SCAN_NAME es el nombre del análisis. Puedes encontrarlo en la parte inferior de la salida cuando sondees la operación de larga duración, una vez que haya finalizado el análisis.
    • --limit=X es una marca opcional que limita el número de repeticiones que se muestran en el resultado. X es un valor numérico.

    Por ejemplo:

    gcloud artifacts docker images list-vulnerabilities \
projects/my-project/locations/us/scans/2fe2bfb8-f0c5-4dd6-a8c8-38961869767a

createTime: '2021-01-05T23:05:42.956227Z'
kind: VULNERABILITY
name: projects/my-project/locations/us/occurrences/f82a1efd-a261-4973-acbd-f9854d8b8135
noteName: projects/goog-vulnz/notes/CVE-2018-1000654
resourceUri: ubuntu:latest
updateTime: '2021-01-05T23:05:42.956227Z'
vulnerability:
  cvssScore: 7.1
  cvssv3:
    attackComplexity: ATTACK_COMPLEXITY_LOW
    attackVector: ATTACK_VECTOR_NETWORK
    availabilityImpact: IMPACT_HIGH
    baseScore: 7.2
    confidentialityImpact: IMPACT_HIGH
    exploitabilityScore: 1.2
    impactScore: 5.9
    integrityImpact: IMPACT_HIGH
    privilegesRequired: PRIVILEGES_REQUIRED_HIGH
    scope: SCOPE_UNCHANGED
    userInteraction: USER_INTERACTION_NONE
  effectiveSeverity: MEDIUM

    El resultado de este comando es una lista de incidencias en formato Grafeas. En este caso, se muestra una vulnerabilidad de gravedad media encontrada en la imagen.

    Los resultados del análisis están disponibles durante 48 horas después de que se complete la operación.

    Siguientes pasos