Ce document explique comment activer et désactiver l'analyse automatique.
Artifact Analysis fournit une analyse automatique des failles pour les images de conteneurs dans Artifact Registry et Container Registry (obsolète) via l'API Container Scanning. Les administrateurs de plate-forme et les développeurs d'applications peuvent utiliser les résultats de l'analyse pour identifier et atténuer les risques liés à leur chaîne d'approvisionnement logiciel.
Par défaut, Artifact Analysis analyse tous les types de paquets compatibles de votre projet lorsque vous activez l'API Container Scanning. Pour réduire les coûts et réduire le bruit dans les résultats de l'analyse, vous pouvez désactiver l'analyse sur des dépôts individuels. Pour en savoir plus, consultez la section Contrôler les paramètres d'analyse pour un dépôt individuel.
Pour en savoir plus sur la tarification, consultez la page Tarifs.
Limites
La fonctionnalité d'analyse automatique présente les limites suivantes:
- L'analyse n'est pas compatible avec les dépôts virtuels Artifact Registry.
- Les dépôts Artifact Registry doivent être au format Docker.
Activer l'API Container Scanning
Artifact Analysis n'analyse pas automatiquement les images existantes. Pour qu'une image existante soit analysée, vous devez la transférer à nouveau.
Vous pouvez activer l'API Container Scanning pour un projet existant ou créer un projet, puis activer l'API. Activer l'API Container Scanning active également l'API Container Analysis pour le stockage et la récupération des métadonnées.
Pour activer l'analyse des failles pour votre projet dans Artifact Registry ou Container Registry, procédez comme suit:
Dans la console Google Cloud, ouvrez la page Activer l'accès aux API:
Activer l'API Container Scanning
Contrôler les paramètres d'analyse d'un dépôt individuel
Cette section explique comment contrôler les paramètres d'analyse pour des dépôts individuels. Cette fonctionnalité n'est disponible que dans Artifact Registry.
Par défaut, l'activation de l'API Container Scanning active l'analyse de toutes les images que vous transférez vers des dépôts Docker standards et distants dans Artifact Registry. L'analyse avec Artifact Analysis fournit des informations complètes sur les menaces potentielles pour votre chaîne d'approvisionnement logicielle. Si nécessaire, vous pouvez également désactiver l'analyse sur des dépôts individuels.
Vous pouvez désactiver l'analyse sur les dépôts pour:
- Gérez vos coûts d'analyse dans un projet. Vous n'avez pas besoin de désactiver l'analyse pour l'ensemble d'un projet ni de créer un projet pour isoler des dépôts.
- Réduire le nombre de résultats de failles que vous recevez Vous pouvez vous concentrer sur la résolution des failles dans des dépôts spécifiques.
Pour modifier les paramètres d'analyse des dépôts Artifact Registry existants, consultez la section Mettre à jour les dépôts.
Pour configurer les paramètres d'analyse d'un nouveau dépôt Artifact Registry, consultez les sections Créer des dépôts standards ou Créer des dépôts distants.
Désactiver l'API Container Scanning
Cette section explique comment désactiver l'analyse des failles pour votre projet dans Artifact Registry ou Container Registry.
Lorsque vous désactivez l'API Container Scanning, l'analyse s'arrête pour tous les dépôts de votre projet. Les paramètres de numérisation des dépôts individuels sont conservés. Si vous avez précédemment désactivé l'analyse sur certains dépôts, puis que vous réactivez l'API pour votre projet, ces dépôts resteront exclus de l'analyse.
Pour mettre à jour les paramètres d'analyse pour des dépôts individuels, consultez la section Mettre à jour des dépôts.
Console
Ouvrez la page Paramètres de l'un des services de registre dans la console Google Cloud.
Artifact Registry:
Container Registry:
Dans la section Analyse des failles, cliquez sur Désactiver.
gcloud
Exécutez la commande suivante :
gcloud services disable containerscanning.googleapis.com
Étendre la période de surveillance
Artifact Analysis surveille en permanence les métadonnées des failles pour les images analysées dans Artifact Registry et Container Registry (obsolète). La période de surveillance continue par défaut est de 30 jours. Passé ce délai, vos images sont obsolètes et les résultats de l'analyse des failles ne sont plus mis à jour.
Pour prolonger la période de surveillance, vous devez extraire ou stocker l'image dans la période de 30 jours. Nous vous recommandons de créer une tâche programmée pour transférer de nouveau les conteneurs qui ne nécessitent pas de mises à jour fréquentes, par exemple vos images Istio et proxy.