Neste documento, explicamos como ativar e desativar a verificação automática.
O Artifact Analysis oferece verificação automatizada de vulnerabilidades para imagens de contêiner no Artifact Registry usando a API Container Scanning. Os administradores da plataforma e os desenvolvedores de aplicativos podem usar os resultados da verificação para identificar e reduzir os riscos na cadeia de suprimentos de software.
Por padrão, Artifact Analysis verifica todos os tipos de pacotes compatíveis no seu projeto quando você ativa a API Container Scanning. Para reduzir custos e o ruído nos resultados da verificação, é possível desativar a verificação em repositórios individuais. Para mais informações, consulte Controlar as configurações de verificação de um repositório individual.
Consulte a página de preços para mais informações.
Limitações
O recurso de verificação automática tem as seguintes limitações:
- A verificação não é compatível com repositórios virtuais do Artifact Registry.
- Os repositórios do Artifact Registry precisam estar no formato Docker.
Ativar a API Container Scanning
É possível ativar a API Container Scanning em um projeto ou criar um novo e ativá-la em seguida. Ao ativar a API Container Scanning, você também ativa a API Container Analysis para armazenamento e recuperação de metadados.
Para ativar a verificação de vulnerabilidades no seu projeto no Artifact Registry, siga estas etapas:
No console do Google Cloud , abra a página Ativar acesso à API:
Ativar a API Container Scanning
Controlar as configurações de verificação de um repositório específico
Nesta seção, explicamos como controlar as configurações de verificação de repositórios individuais. Esse recurso só é compatível com o Artifact Registry.
Por padrão, ativar a API Container Scanning ativa a verificação de todas as imagens enviadas para repositórios padrão e remotos do Docker no Artifact Registry. A verificação com o Artifact Analysis fornece informações abrangentes sobre possíveis ameaças à sua cadeia de suprimentos de software. Você também pode desativar a verificação em repositórios individuais, se necessário.
É possível desativar a verificação em repositórios para:
- Gerencie os custos de verificação em um projeto. Não é necessário desativar a verificação de um projeto inteiro nem criar um novo projeto para isolar repositórios.
- Reduza o número de descobertas de vulnerabilidade recebidas. Você pode se concentrar em corrigir vulnerabilidades em repositórios específicos.
Para mudar as configurações de verificação dos repositórios do Artifact Registry, faça o seguinte:
Console
Abra a página Repositórios no console do Google Cloud .
Na lista de repositórios, selecione o repositório e clique em Editar repositório.
Ative ou desative a verificação de vulnerabilidades.
Clique em Salvar.
gcloud
Para desativar a verificação no repositório:
gcloud artifacts repositories update REPOSITORY \
--project=PROJECT-ID \
--location=LOCATION \
--disable-vulnerability-scanning
Para permitir a verificação no repositório:
gcloud artifacts repositories update REPOSITORY \
--project=PROJECT-ID \
--location=LOCATION \
--allow-vulnerability-scanning
Em que:
- REPOSITORY: o nome do repositório. Se você tiver configurado um repositório padrão, poderá omitir essa flag para usar o padrão.
- PROJECT-ID: o ID do projeto do Google Cloud . Se essa flag for omitida, o projeto atual ou padrão será usado.
- LOCATION: use esta flag para ver repositórios em um local específico. Se você tiver configurado um local padrão, poderá omitir essa flag para usar o padrão.
Para configurar as configurações de verificação de um novo repositório do Artifact Registry, consulte Criar repositórios padrão ou Criar repositórios remotos.
Desativar a API Container Scanning
Nesta seção, explicamos como desativar a verificação de vulnerabilidades do seu projeto no Artifact Registry.
Quando você desativa a API Container Scanning, a verificação é interrompida para todos os repositórios no seu projeto. As configurações de verificação de repositórios individuais são preservadas. Se você desativou a verificação em alguns repositórios e depois reativou a API para seu projeto, esses repositórios vão continuar excluídos da verificação.
Para atualizar as configurações de verificação de repositórios individuais, consulte Atualizar repositórios.
Console
Abra a página Configurações do Artifact Registry:
Na seção Verificação de vulnerabilidades, clique em Desativar.
gcloud
Execute este comando:
gcloud services disable containerscanning.googleapis.com
Estender a janela de tempo de monitoramento
O Artifact Analysis monitora continuamente os metadados de vulnerabilidade de imagens verificadas no Artifact Registry. A janela de tempo padrão para monitoramento contínuo é de 30 dias. Após esse período, as imagens ficam desatualizadas e os resultados da verificação de vulnerabilidades não são mais atualizados.
Para estender a janela de monitoramento, você precisa extrair ou enviar a imagem dentro do período de 30 dias. Recomendamos a criação de uma tarefa programada para reenviar contêineres que não exigem atualização frequente, por exemplo, suas imagens do Istio e do proxy.