En este documento se explica cómo habilitar e inhabilitar el análisis automático.
Artifact Analysis ofrece análisis de vulnerabilidades automatizado para imágenes de contenedor en Artifact Registry a través de la API Container Scanning. Los administradores de la plataforma y los desarrolladores de aplicaciones pueden usar los resultados del análisis para identificar y mitigar los riesgos de su cadena de suministro de software.
De forma predeterminada, Artifact Analysis analiza todos los tipos de paquetes admitidos en tu proyecto cuando habilitas la API Container Scanning. Para reducir los costes y el ruido en los resultados de los análisis, puedes inhabilitar el análisis en repositorios concretos. Para obtener más información, consulta Controlar la configuración de análisis de un repositorio concreto.
Consulta la página de precios para obtener información sobre los precios.
Limitaciones
La función de búsqueda automática tiene las siguientes limitaciones:
- El análisis no se admite en los repositorios virtuales de Artifact Registry.
- Los repositorios de Artifact Registry deben estar en formato Docker.
Habilitar la API Container Scanning
Puede habilitar la API Container Scanning en un proyecto que ya tenga o crear uno nuevo y, a continuación, habilitar la API. Al habilitar la API Container Scanning, también se habilita la API Container Analysis para almacenar y recuperar metadatos.
Para habilitar el análisis de vulnerabilidades de tu proyecto en Artifact Registry, sigue estos pasos:
En la Google Cloud consola, abre la página Habilitar acceso a la API:
Habilitar la API Container Scanning
Controlar la configuración de análisis de un repositorio concreto
En esta sección se explica cómo controlar la configuración de análisis de repositorios concretos. Esta función solo está disponible en Artifact Registry.
De forma predeterminada, al habilitar la API Container Scanning, se activa el análisis de todas las imágenes que envías a los repositorios Docker estándar y remotos de Artifact Registry. El análisis de artefactos proporciona información completa sobre las posibles amenazas a tu cadena de suministro de software. También puedes inhabilitar el análisis en repositorios concretos si es necesario.
Puedes inhabilitar el análisis en los repositorios para lo siguiente:
- Gestiona los costes de análisis de un proyecto. No es necesario desactivar el análisis de todo un proyecto ni crear uno nuevo para aislar repositorios.
- Reducir el número de hallazgos de vulnerabilidades que recibe. Puedes centrarte en corregir vulnerabilidades en repositorios específicos.
Para cambiar la configuración de análisis de los repositorios de Artifact Registry, consulta Actualizar repositorios.
Para configurar los ajustes de análisis de un nuevo repositorio de Artifact Registry, consulta Crear repositorios estándar o Crear repositorios remotos.
Inhabilitar la API Container Scanning
En esta sección se explica cómo inhabilitar el análisis de vulnerabilidades de su proyecto en Artifact Registry.
Cuando inhabilitas la API Container Scanning, el análisis se detiene en todos los repositorios de tu proyecto. Se conservan los ajustes de análisis de repositorios concretos. Si has inhabilitado el análisis en algunos repositorios y, más adelante, vuelves a habilitar la API en tu proyecto, esos repositorios seguirán excluidos del análisis.
Para actualizar los ajustes de análisis de repositorios concretos, consulta Actualizar repositorios.
Consola
Abre la página Configuración de Artifact Registry:
En la sección Vulnerability Scanning (Análisis de vulnerabilidades), haga clic en Disable (Inhabilitar).
gcloud
Ejecuta el siguiente comando:
gcloud services disable containerscanning.googleapis.com
Ampliar el periodo de monitorización
Artifact Analysis monitoriza continuamente los metadatos de vulnerabilidades de las imágenes analizadas en Artifact Registry. La ventana de tiempo predeterminada para la monitorización continua es de 30 días. Una vez transcurrido este periodo, las imágenes estarán obsoletas y los resultados del análisis de vulnerabilidades dejarán de actualizarse.
Para ampliar la ventana de monitorización, debes extraer o insertar la imagen en un plazo de 30 días. Te recomendamos que crees una tarea programada para volver a enviar los contenedores que no requieran actualizaciones frecuentes, como las imágenes de Istio y de proxy.
Siguientes pasos
- Empieza a usar la búsqueda automática.
- Familiarízate con los conceptos del análisis de contenedores.