Questo documento spiega come attivare e disattivare la scansione automatica.
Artifact Analysis fornisce l'analisi automatizzata delle vulnerabilità per le immagini container in Artifact Registry tramite l'API Container Scanning. Gli amministratori della piattaforma e gli sviluppatori di applicazioni possono utilizzare i risultati della scansione per identificare e mitigare i rischi per la loro supply chain del software.
Per impostazione predefinita, Artifact Analysis esegue la scansione di tutti i tipi di pacchetti supportati nel tuo progetto quando abiliti l'API Container Scanning. Per ridurre i costi e il rumore nei risultati della scansione, puoi disattivare la scansione su singoli repository. Per maggiori informazioni, vedi Controllare le impostazioni di scansione per un singolo repository.
Per informazioni sui prezzi, consulta la pagina dei prezzi.
Limitazioni
La funzionalità di scansione automatica presenta le seguenti limitazioni:
- La scansione non è supportata nei repository virtuali di Artifact Registry.
- I repository Artifact Registry devono essere in formato Docker.
Abilita l'API Container Scanning
Puoi abilitare l'API Container Scanning per un progetto esistente o creare un nuovo progetto e poi abilitare l'API. L'abilitazione dell'API Container Scanning abilita anche l'API Container Analysis per l'archiviazione e il recupero dei metadati.
Per attivare analisi delle vulnerabilità per il tuo progetto in Artifact Registry, completa i seguenti passaggi:
Nella console Google Cloud , apri la pagina Abilita accesso all'API:
Abilita l'API Container Scanning
Controllare le impostazioni di scansione per un singolo repository
Questa sezione spiega come controllare le impostazioni di scansione per i singoli repository. Questa funzionalità è supportata solo in Artifact Registry.
Per impostazione predefinita, l'abilitazione dell'API Container Scanning attiva la scansione di tutte le immagini che trasferisci ai repository Docker standard e remoti in Artifact Registry. La scansione con Artifact Analysis fornisce informazioni complete sulle potenziali minacce alla catena di fornitura del software. Se necessario, puoi anche disattivare la scansione su singoli repository.
Puoi disattivare la scansione sui repository per:
- Gestisci i costi di scansione all'interno di un progetto. Non è necessario disattivare la scansione per un intero progetto o creare un nuovo progetto per isolare i repository.
- Riduci il numero di risultati di vulnerabilità che ricevi. Puoi concentrarti sulla correzione delle vulnerabilità in repository specifici.
Per modificare le impostazioni di analisi per i repository Artifact Registry esistenti, segui questi passaggi:
Console
Apri la pagina Repository nella console Google Cloud .
Nell'elenco dei repository, seleziona il repository e fai clic su Modifica repository.
Attiva o disattiva l'analisi delle vulnerabilità.
Fai clic su Salva.
gcloud
Per disattivare l'analisi sul repository:
gcloud artifacts repositories update REPOSITORY \
--project=PROJECT-ID \
--location=LOCATION \
--disable-vulnerability-scanning
Per consentire l'analisi sul repository:
gcloud artifacts repositories update REPOSITORY \
--project=PROJECT-ID \
--location=LOCATION \
--allow-vulnerability-scanning
Dove:
- REPOSITORY: il nome del repository. Se hai configurato un repository predefinito, puoi omettere questo flag per utilizzare quello predefinito.
- PROJECT-ID: L' Google Cloud ID progetto. Se questo flag viene omesso, viene utilizzato il progetto corrente o predefinito.
- LOCATION: utilizza questo flag per visualizzare i repository in una posizione specifica. Se hai configurato una località predefinita, puoi omettere questo flag per utilizzare quella predefinita.
Per configurare le impostazioni di scansione per un nuovo repository Artifact Registry, consulta Creare repository standard o Creare repository remoti.
Disabilita l'API Container Scanning
Questa sezione spiega come disattivare analisi delle vulnerabilità per il tuo progetto in Artifact Registry.
Quando disabiliti l'API Container Scanning, l'analisi si interrompe per tutti i repository nel tuo progetto. Le impostazioni di scansione per i singoli repository vengono mantenute. Se in precedenza hai disattivato l'analisi su alcuni repository e in seguito hai riattivato l'API per il tuo progetto, questi repository rimarranno esclusi dall'analisi.
Per aggiornare le impostazioni di scansione per singoli repository, consulta Aggiornare i repository.
Console
Apri la pagina Impostazioni di Artifact Registry:
Nella sezione Scansione delle vulnerabilità, fai clic su Disattiva.
gcloud
Esegui questo comando:
gcloud services disable containerscanning.googleapis.com
Estendere la finestra temporale di monitoraggio
Artifact Analysis monitora continuamente i metadati delle vulnerabilità per le immagini analizzate in Artifact Registry. La finestra temporale predefinita per il monitoraggio continuo è di 30 giorni. Dopo questo periodo, le immagini sono obsolete e i risultati dell'analisi delle vulnerabilità non vengono più aggiornati.
Per estendere la finestra di monitoraggio, devi eseguire il pull o il push dell'immagine entro il periodo di 30 giorni. Ti consigliamo di creare un'attività pianificata per eseguire nuovamente il push dei container che non richiedono aggiornamenti frequenti, ad esempio le immagini Istio e proxy.