本文說明如何啟用及停用自動掃描功能。
Artifact Analysis 會透過 Container Scanning API,自動掃描 Artifact Registry 中的容器映像檔,檢查是否有安全漏洞。平台管理員和應用程式開發人員可以運用掃描結果,找出並降低軟體供應鏈的風險。
根據預設,啟用 Container Scanning API 時,Artifact Analysis 會掃描專案中所有支援的套件類型。如要降低成本並減少掃描結果中的雜訊,可以停用個別存放區的掃描功能。詳情請參閱「控制個別存放區的掃描設定」。
如需價格資訊,請參閱定價頁面。
限制
自動掃描功能有下列限制:
- Artifact Registry 虛擬存放區不支援掃描功能。
- Artifact Registry 存放區必須採用 Docker 格式。
啟用 Container Scanning API
您可以啟用現有專案的 Container Scanning API,也可以先建立新專案再啟用 API。啟用 Container Scanning API 時,系統也會啟用 Container Analysis API,以便儲存及擷取中繼資料。
如要為 Artifact Registry 中的專案啟用安全漏洞掃描,請完成下列步驟:
在 Google Cloud 控制台中,開啟「Enable access to API」(啟用 API 存取權) 頁面:
控管個別存放區的掃描設定
本節說明如何控管個別存放區的掃描設定。這項功能僅適用於 Artifact Registry。
根據預設,啟用 Container Scanning API 後,系統會掃描您推送至 Artifact Registry 標準和遠端 Docker 存放區的所有映像檔。使用 Artifact Analysis 掃描可取得軟體供應鏈潛在威脅的完整資訊。您也可以視需要停用個別存放區的掃描功能。
您可以停用存放區的掃描功能,以便:
- 在專案中管理掃描費用。您不必為整個專案關閉掃描功能,也不必建立新專案來隔離存放區。
- 減少收到的安全漏洞發現項目數量。您可以專注於修正特定存放區中的安全漏洞。
如要變更現有 Artifact Registry 存放區的掃描設定,請參閱更新存放區。
如要為新的 Artifact Registry 存放區設定掃描設定,請參閱「建立標準存放區」或「建立遠端存放區」。
停用 Container Scanning API
本節說明如何在 Artifact Registry 中停用專案的安全漏洞掃描功能。
停用 Container Scanning API 後,系統會停止掃描專案中的所有存放區。系統會保留個別存放區的掃描設定。如果您先前已在部分存放區停用掃描功能,之後為專案重新啟用 API,這些存放區仍會排除在掃描範圍之外。
如要更新個別存放區的掃描設定,請參閱「更新存放區」。
控制台
開啟 Artifact Registry 的「設定」頁面:
在「安全漏洞掃描」部分,按一下「停用」。
gcloud
執行下列指令:
gcloud services disable containerscanning.googleapis.com
延長監控時間範圍
Artifact Analysis 會持續監控 Artifact Registry 中已掃描映像檔的安全漏洞中繼資料。預設的持續監控時間範圍為 30 天。超過這段時間後,映像檔就會過時,安全漏洞掃描結果也不會再更新。
如要延長監控期,您必須在 30 天內提取或推送映像檔。建議您建立排程工作,重新推送不需要頻繁更新的容器,例如 Istio 和 Proxy 映像檔。