Scansione automatica dei pacchi

Questo documento spiega come abilitare l'API Container Scanning, eseguire il push di un'immagine in Artifact Registry e visualizzare l'elenco delle vulnerabilità trovate nell'immagine.

Artifact Analysis archivia le informazioni sulle vulnerabilità come note. Viene creata un'occorrenza per ogni istanza di una nota associata a un'immagine. Per saperne di più, consulta i documenti di panoramica e sui prezzi.

Prima di iniziare

Accedi al tuo Google Cloud account. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Artifact Registry and Container Scanning APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Installa Google Cloud CLI.

Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Per inizializzare gcloud CLI, esegui questo comando:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Artifact Registry and Container Scanning APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Installa Google Cloud CLI.

Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Per inizializzare gcloud CLI, esegui questo comando:

gcloud init

1. Crea un repository in Artifact Registry ed esegui il push di un pacchetto con il codice dell'applicazione nel repository. Se non hai familiarità con la gestione dei pacchetti in Artifact Registry, consulta i seguenti argomenti:
   1. Archiviazione dei pacchetti Java in Artifact Registry
   2. Archiviazione di pacchetti Node.js in Artifact Registry
   3. Archiviazione dei pacchetti Python in Artifact Registry

L'abilitazione di questa API abilita anche la scansione dei pacchetti di lingua in Artifact Registry. Consulta i tipi di pacchetti supportati.

Visualizzare le vulnerabilità del pacchetto

Artifact Analysis esegue la scansione dei nuovi pacchetti quando vengono caricati in Artifact Registry. Questa scansione estrae informazioni sul pacchetto e sulle relative dipendenze.

Puoi visualizzare le occorrenze di vulnerabilità per le tue immagini in Artifact Registry utilizzando la Google Cloud console, Google Cloud CLI o l'API Container Analysis. Se un'immagine presenta vulnerabilità, puoi ottenere i dettagli.

Artifact Analysis continua a eseguire la scansione di immagini e pacchetti purché sia stato eseguito il pull negli ultimi 30 giorni. Dopo 30 giorni, i metadati delle immagini e dei pacchetti sottoposti a scansione non verranno più aggiornati e i risultati saranno obsoleti.

Artifact Analysis archivia i metadati che sono rimasti inattivi per più di 90 giorni. Questi metadati archiviati possono essere valutati solo utilizzando l'API. Puoi eseguire di nuovo la scansione di un'immagine con metadati obsoleti o archiviati eseguendo il pull dell'immagine. L'aggiornamento dei metadati può richiedere fino a 24 ore. Non è possibile eseguire di nuovo la scansione dei pacchetti con metadati obsoleti o archiviati.

Visualizzare le occorrenze nella Google Cloud console

Per visualizzare le vulnerabilità in un pacchetto:

1. Recupera l'elenco dei repository.

   Apri la pagina Repository

2. Nell'elenco dei repository, fai clic su un repository.

3. Nell'elenco dei pacchetti, fai clic sul nome di un pacchetto.

   I totali delle vulnerabilità per ogni pacchetto vengono visualizzati nella colonna Vulnerabilità.

   

4. Per visualizzare l'elenco delle vulnerabilità di un pacchetto, fai clic sul link nella colonna Vulnerabilità.

   La sezione Risultati della scansione mostra un riepilogo dei tipi di pacchetti sottoposti a scansione, del totale delle vulnerabilità, delle vulnerabilità con correzioni disponibili, delle vulnerabilità senza correzioni e della gravità effettiva.

   

   La tabella delle vulnerabilità elenca il nome delle vulnerabilità ed esposizioni comuni (CVE) per ogni vulnerabilità trovata, la gravità effettiva, il punteggio del sistema di valutazione delle vulnerabilità comuni (CVSS), le correzioni (se disponibili), il nome del pacchetto che contiene la vulnerabilità e il tipo di pacchetto. Puoi filtrare e ordinare questi file per controllare un file, una directory, o un tipo di file specifico in base all'estensione del file. Google Cloud La console visualizza fino a 1200 vulnerabilità per pagina in questa tabella.

5. Per i dettagli di una CVE specifica, fai clic sul nome della CVE.

6. Per visualizzare i dettagli dell'occorrenza di vulnerabilità, come il numero di versione e la località interessata, nella riga con il nome della vulnerabilità, fai clic su Visualizza o Visualizza corretta. Il testo del link è Visualizza per le vulnerabilità senza correzione e Visualizza corretta per le vulnerabilità a cui è stata applicata una correzione.

Visualizzare le occorrenze utilizzando gcloud

Per visualizzare le occorrenze dei pacchetti in Artifact Registry, esegui il gcloud artifacts versions describe comando:

gcloud artifacts versions describe VERSION \
    --location=LOCATION --repository=REPOSITORY --package=PACKAGE --show-package-vulnerability

Dove:

• VERSION è la versione del pacchetto per cui stai visualizzando le occorrenze.
• LOCATION è la località regionale o multiregionale del repository.
• REPOSITORY è il nome del repository in cui è archiviato il pacchetto.
• PACKAGE è il nome del pacchetto nel repository. Non puoi specificare un tag del pacchetto con questo comando.

Visualizzare le occorrenze utilizzando l'API

Per ottenere un elenco di occorrenze nel tuo progetto:

 curl -X GET -H "Content-Type: application/json" -H \
    "Authorization: Bearer $(gcloud auth print-access-token)" \
    https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences

Per ottenere un riepilogo delle vulnerabilità nel tuo progetto:

 curl -X GET -H "Content-Type: application/json" -H \
    "Authorization: Bearer $(gcloud auth print-access-token)" \
    https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences:vulnerabilitySummary

Per ottenere i dettagli di un'occorrenza specifica:

 curl -X GET -H "Content-Type: application/json" -H \
    "Authorization: Bearer $(gcloud auth print-access-token)" \
    https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences/OCCURRENCE_ID

Filtrare le occorrenze

Puoi utilizzare le stringhe di filtro nei comandi gcloud e nell'API Artifact Analysis per filtrare le occorrenze prima di visualizzarle. Le sezioni seguenti descrivono i filtri di ricerca supportati.

Visualizzare le occorrenze di un tipo specifico

Puoi utilizzare il valore kind per filtrare in base al tipo di occorrenza. Consulta i tipi disponibili di prodotti.

Gli esempi seguenti mostrano come filtrare le occorrenze di vulnerabilità dei pacchetti:

kind="PACKAGE_VULNERABILITY" AND resourceUrl="RESOURCE_URL"

kind="NOTE_KIND" AND has_prefix(resourceUrl, "RESOURCE_URL_PREFIX")

Visualizzare le occorrenze di vulnerabilità

Puoi visualizzare gli elenchi di occorrenze di vulnerabilità utilizzando gcloud CLI o l'API Artifact Analysis.

gcloud artifacts versions describe VERSION_ID --repository=REPOSITORY_ID
  --package=GROUP_ID:ARTIFACT_ID --show-package-vulnerability

GET https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences?filter=kind%3D%22VULNERABILITY%22%20AND%20resourceUrl%3D%22ENCODED_RESOURCE_URL%22

Visualizzare le immagini associate a una nota specifica

Puoi recuperare un elenco di risorse associate a un ID nota specifico. Ad esempio, puoi elencare le immagini con una vulnerabilità CVE specifica.

Per elencare tutte le immagini all'interno di un progetto associate a una nota specifica, utilizza la seguente espressione di filtro:

GET https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences?filter=noteProjectId%3D%22goog-vulnz%22%20AND%20resourceUrl%3D%22ENCODED_RESOURCE_URL%22%20AND%20noteId%3D%22NOTE_ID%22

Per controllare una nota specifica per un'immagine specifica, utilizza la seguente espressione di filtro:

resourceUrl="RESOURCE_URL" AND noteProjectId="goog-vulnz" \
AND noteId="NOTE_ID"

Passaggi successivi

• Utilizza le notifiche Pub/Sub per ricevere notifiche su vulnerabilità e altri metadati.