이 문서에서는 자동 스캔을 사용 설정하고 사용 중지하는 방법을 설명합니다.
Artifact Analysis는 Container Scanning API를 통해 Artifact Registry와 Container Registry (지원 중단됨)의 컨테이너 이미지에 대한 자동 취약점 스캔을 제공합니다. 플랫폼 관리자와 애플리케이션 개발자는 스캔 결과를 사용하여 소프트웨어 공급망의 위험을 식별하고 완화할 수 있습니다.
기본적으로 Artifact Analysis는 Container Scanning API를 사용 설정하면 프로젝트에서 지원되는 모든 패키지 유형을 스캔합니다. 비용을 절감하고 스캔 결과의 노이즈를 줄이려면 개별 저장소에서 스캔을 사용 중지하면 됩니다. 자세한 내용은 개별 저장소의 스캔 설정 제어를 참고하세요.
가격 정보는 가격 책정 페이지를 참고하세요.
제한사항
자동 스캔 기능에는 다음과 같은 제한사항이 있습니다.
- Artifact Registry 가상 저장소에서는 스캔이 지원되지 않습니다.
- Artifact Registry 저장소는 Docker 형식이어야 합니다.
Container Scanning API 사용 설정
기존 프로젝트에서 Container Scanning API를 사용 설정하거나 새 프로젝트를 만든 후 API를 사용 설정할 수 있습니다. Container Scanning API를 사용 설정하면 메타데이터 저장소 및 검색을 위한 Container Analysis API도 사용 설정됩니다.
Artifact Registry 또는 Container Registry에서 프로젝트의 취약점 스캔을 사용 설정하려면 다음 단계를 완료하세요.
Google Cloud 콘솔에서 API 액세스 사용 설정 페이지를 엽니다.
개별 저장소의 스캔 설정 제어
이 섹션에서는 개별 저장소의 검사 설정을 제어하는 방법을 설명합니다. 이 기능은 Artifact Registry에서만 지원됩니다.
기본적으로 Container Scanning API를 사용 설정하면 Artifact Registry의 표준 및 원격 Docker 저장소에 푸시하는 모든 이미지의 검사가 활성화됩니다. Artifact Analysis를 사용한 스캔은 소프트웨어 공급망에 대한 잠재적 위협에 관한 포괄적인 정보를 제공합니다. 필요한 경우 개별 저장소에서 검사를 사용 중지할 수도 있습니다.
저장소에서 스캔을 사용 중지하면 다음과 같은 이점이 있습니다.
- 프로젝트 내에서 스캔 비용을 관리합니다. 저장소를 격리하기 위해 전체 프로젝트의 검사를 사용 중지하거나 새 프로젝트를 만들 필요가 없습니다.
- 수신하는 취약점 발견 수를 줄입니다. 특정 저장소의 취약점 해결에 집중할 수 있습니다.
기존 Artifact Registry 저장소의 스캔 설정을 변경하려면 저장소 업데이트를 참고하세요.
새 Artifact Registry 저장소의 검사 설정을 구성하려면 표준 저장소 만들기 또는 원격 저장소 만들기를 참고하세요.
Container Scanning API 사용 중지
이 섹션에서는 Artifact Registry 또는 Container Registry에서 프로젝트의 취약점 검사를 사용 중지하는 방법을 설명합니다.
Container Scanning API를 사용 중지하면 프로젝트의 모든 저장소에 대한 검사가 중지됩니다. 개별 저장소의 검사 설정은 보존됩니다. 이전에 일부 저장소에서 스캔을 사용 중지한 후 나중에 프로젝트의 API를 다시 사용 설정해도 해당 저장소는 스캔에서 계속 제외됩니다.
개별 저장소의 검사 설정을 업데이트하려면 저장소 업데이트를 참고하세요.
콘솔
gcloud
다음 명령어를 실행합니다.
gcloud services disable containerscanning.googleapis.com
모니터링 기간 연장
Artifact Analysis는 Artifact Registry 및 Container Registry(지원 중단됨)에서 스캔된 이미지의 취약점 메타데이터를 지속적으로 모니터링합니다. 지속적 모니터링을 위한 기본 기간은 30일입니다. 이 기간이 지나면 이미지가 비활성화되고 취약점 스캔 결과가 더 이상 업데이트되지 않습니다.
모니터링 창을 확장하려면 30일 이내에 이미지를 가져오거나 푸시해야 합니다. 자주 업데이트하지 않아도 되는 컨테이너(예: Istio 및 프록시 이미지)를 다시 푸시하는 예약 작업을 만드는 것이 좋습니다.