Neste documento, explicamos como ativar e desativar a verificação automática.
O Artifact Analysis oferece verificação de vulnerabilidades automatizada para imagens de contêiner no Artifact Registry e no Container Registry (descontinuado) usando a API Container Scanning. Os administradores da plataforma e os desenvolvedores de aplicativos podem usar os resultados da verificação para identificar e reduzir os riscos da cadeia de suprimentos de software.
Por padrão, Artifact Analysis verifica todos os tipos de pacotes compatíveis no seu projeto quando você ativa a API Container Analysis. Para reduzir custos e o ruído nas descobertas da verificação, desative a verificação em repositórios individuais. Para mais informações, consulte Controlar as configurações de verificação de um repositório individual.
Consulte a página de preços para mais informações.
Limitações
O recurso de leitura automática tem as seguintes limitações:
- A verificação não é compatível com repositórios virtuais do Artifact Registry.
- Os repositórios do Artifact Registry precisam estar no formato Docker.
Ativar a API Container Scanning
É possível ativar a API Container Scanning em um projeto existente ou criar um novo projeto e ativar a API. Ativar a API Container Scanning também ativa a API Container Analysis para armazenamento e recuperação de metadados.
Para ativar a verificação de vulnerabilidades para seu projeto no Artifact Registry ou no Container Registry, siga estas etapas:
No console do Google Cloud, abra a página Ativar acesso à API:
Ativar a API Container Scanning
Controlar as configurações de verificação de um repositório
Esta seção explica como controlar as configurações de verificação de repositórios individuais. Esse recurso só é compatível com o Artifact Registry.
Por padrão, ativar a API Container Scanning ativa a verificação de todas as imagens enviadas para repositórios padrão e remotos do Docker no Artifact Registry. A verificação com Artifact Analysis fornece informações abrangentes sobre possíveis ameaças à cadeia de suprimentos de software. Também é possível desativar a verificação em repositórios individuais, se necessário.
É possível desativar a verificação em repositórios para:
- Gerencie os custos de verificação em um projeto. Não é necessário desativar a verificação de um projeto inteiro ou criar um novo projeto para isolar os repositórios.
- Reduza o número de descobertas de vulnerabilidade que você recebe. Você pode se concentrar em remediar vulnerabilidades em repositórios específicos.
Para mudar as configurações de verificação de repositórios do Artifact Registry, consulte Atualizar repositórios.
Para configurar as configurações de verificação de um novo repositório do Artifact Registry, consulte Criar repositórios padrão ou Criar repositórios remotos.
Desativar a API Container Scanning
Esta seção explica como desativar a verificação de vulnerabilidades do seu projeto no Artifact Registry ou Container Registry.
Quando você desativa a API Container Scanning, a verificação é interrompida para todos os repositórios no seu projeto. As configurações de verificação de repositórios individuais são preservadas. Se você tiver desativado a verificação em alguns repositórios e depois reativar a API para seu projeto, esses repositórios vão continuar excluídos da verificação.
Para atualizar as configurações de verificação de repositórios individuais, consulte Atualizar repositórios.
Console
Abra a página Configurações de um dos serviços de registro no console do Google Cloud.
Artifact Registry:
Container Registry:
Na seção Verificação de vulnerabilidades, clique em Desativar.
gcloud
Execute este comando:
gcloud services disable containerscanning.googleapis.com
Estender a janela de tempo de monitoramento
O Artifact Analysis monitora continuamente os metadados de vulnerabilidade de imagens digitalizadas no Artifact Registry e no Container Registry (descontinuado). A janela de tempo padrão para monitoramento contínuo é de 30 dias. Após esse período, as imagens ficam desatualizadas e os resultados da verificação de vulnerabilidades não são mais atualizados.
Para estender a janela de monitoramento, você precisa extrair ou enviar a imagem dentro do período de 30 dias. Recomendamos a criação de uma tarefa programada para reenviar contêineres que não exigem atualização frequente, por exemplo, suas imagens do Istio e do proxy.