このドキュメントでは、自動スキャンを有効または無効にする方法について説明します。
Artifact Analysis は、Container Scanning API を介して、Artifact Registry と Container Registry (非推奨)の両方のコンテナ イメージに対して自動脆弱性スキャンを提供します。プラットフォーム管理者とアプリケーション デベロッパーは、スキャン結果を使用して、ソフトウェア サプライ チェーンのリスクを特定して軽減できます。
デフォルトでは、Container Scanning API を有効にすると、Artifact Analysis はプロジェクトでサポートされているすべてのパッケージ タイプをスキャンします。費用を削減し、スキャン検出結果のノイズを減らすには、個々のリポジトリでスキャンを無効にします。詳細については、個々のリポジトリのスキャン設定を制御するをご覧ください。
詳しい料金情報については、料金ページをご覧ください。
制限事項
自動スキャン機能には次の制限があります。
- スキャンは Artifact Registry 仮想リポジトリではサポートされていません。
- Artifact Registry リポジトリは Docker 形式にする必要があります。
Container Scanning API を有効にする
既存のプロジェクトで Container Scanning API を有効にすることも、新しいプロジェクトを作成してから API を有効にすることもできます。Container Scanning API を有効にすると、メタデータの保存と取得に Container Analysis API も有効になります。
Artifact Registry または Container Registry でプロジェクトの脆弱性スキャンを有効にするには、次の操作を行います。
Google Cloud コンソールで、[API へのアクセスを有効にする] ページを開きます。
個々のリポジトリのスキャン設定を制御する
このセクションでは、個々のリポジトリのスキャン設定を制御する方法について説明します。この機能は Artifact Registry でのみサポートされています。
デフォルトでは、Container Scanning API を有効にすると、Artifact Registry の標準 Docker リポジトリとリモート Docker リポジトリに push するすべてのイメージのスキャンが有効になります。Artifact Analysis によるスキャンでは、ソフトウェア サプライ チェーンに対する潜在的な脅威に関する包括的な情報を提供します。必要に応じて、個々のリポジトリでスキャンを無効にすることもできます。
リポジトリでスキャンを無効にすると、次のことができます。
- プロジェクト内のスキャン費用を管理します。プロジェクト全体のスキャンをオフにしたり、リポジトリを分離するために新しいプロジェクトを作成したりする必要はありません。
- 検出される脆弱性の数を減らす。特定のリポジトリの脆弱性の修正に集中できます。
既存の Artifact Registry リポジトリのスキャン設定を変更するには、リポジトリを更新するをご覧ください。
新しい Artifact Registry リポジトリのスキャン設定を構成するには、標準リポジトリを作成するまたはリモート リポジトリを作成するをご覧ください。
Container Scanning API を無効にする
このセクションでは、Artifact Registry または Container Registry でプロジェクトの脆弱性スキャンを無効にする方法について説明します。
Container Scanning API を無効にすると、プロジェクト内のすべてのリポジトリのスキャンが停止します。個々のリポジトリのスキャン設定は保持されます。一部のリポジトリでスキャンを無効にしてから、プロジェクトの API を再度有効にしても、それらのリポジトリはスキャンから除外されたままになります。
個々のリポジトリのスキャン設定を更新するには、リポジトリを更新するをご覧ください。
Console
gcloud
次のコマンドを実行します。
gcloud services disable containerscanning.googleapis.com
モニタリング期間を延長する
Artifact Analysis は、Artifact Registry と Container Registry でスキャンされたイメージの脆弱性メタデータを継続的に監視します(非推奨)。継続的なモニタリングの期間はデフォルトで 30 日間です。この期間が経過すると、イメージは古くなり、脆弱性スキャンの結果は更新されなくなります。
モニタリング期間を延長するには、30 日以内にイメージを pull または push する必要があります。Istio イメージやプロキシ イメージなど、頻繁に更新する必要のないコンテナを再 push するスケジュール設定されたタスクを作成することをおすすめします。