Este documento explica como ativar e desativar a análise automática.
A análise de artefactos oferece uma análise de vulnerabilidades automatizada para imagens de contentores no Artifact Registry através da API Container Scanning. Os administradores da plataforma e os programadores de aplicações podem usar os resultados da análise para identificar e mitigar os riscos para a respetiva cadeia de fornecimento de software.
Por predefinição, a análise de artefactos analisa todos os tipos de pacotes suportados no seu projeto quando ativa a API Container Scanning. Para reduzir os custos e o ruído nos resultados da análise, pode desativar a análise em repositórios individuais. Para mais informações, consulte o artigo Controle as definições de análise de um repositório individual.
Consulte a página de preços para ver informações de preços.
Limitações
A funcionalidade de análise automática tem as seguintes limitações:
- A análise não é suportada em repositórios virtuais do Artifact Registry.
- Os repositórios do Artifact Registry têm de estar no formato Docker.
Ative a API Container Scanning
Pode ativar a API Container Scanning para um projeto existente ou criar um novo projeto e, em seguida, ativar a API. A ativação da API Container Scanning também ativa a API Container Analysis para o armazenamento e a obtenção de metadados.
Para ativar a análise de vulnerabilidades para o seu projeto no Artifact Registry, conclua os seguintes passos:
Na Google Cloud consola, abra a página Ativar acesso à API:
Ative a API Container Scanning
Controle as definições de análise para um repositório individual
Esta secção explica como controlar as definições de análise para repositórios individuais. Esta funcionalidade só é suportada no Artifact Registry.
Por predefinição, a ativação da API Container Scanning ativa a análise de todas as imagens que envia para repositórios Docker padrão e remotos no Artifact Registry. A análise com a Análise de artefactos fornece informações abrangentes sobre potenciais ameaças à sua cadeia de abastecimento de software. Também pode desativar a análise em repositórios individuais, se necessário.
Pode desativar a análise em repositórios para:
- Faça a gestão dos custos de análise num projeto. Não tem de desativar a análise de um projeto inteiro nem criar um novo projeto para isolar repositórios.
- Reduza o número de resultados de vulnerabilidades que recebe. Pode concentrar-se na correção de vulnerabilidades em repositórios específicos.
Para alterar as definições de análise para repositórios do Artifact Registry existentes, faça o seguinte:
Consola
Abra a página Repositórios na Google Cloud consola.
Na lista de repositórios, selecione o repositório e clique em Editar repositório.
Ative ou desative a análise de vulnerabilidades.
Clique em Guardar.
gcloud
Para desativar a análise no repositório:
gcloud artifacts repositories update REPOSITORY \
--project=PROJECT-ID \
--location=LOCATION \
--disable-vulnerability-scanning
Para permitir a análise no repositório:
gcloud artifacts repositories update REPOSITORY \
--project=PROJECT-ID \
--location=LOCATION \
--allow-vulnerability-scanning
Onde:
- REPOSITORY: o nome do repositório. Se configurou um repositório predefinido, pode omitir esta flag para usar o predefinido.
- PROJECT-ID: O Google Cloud ID do projeto. Se esta flag for omitida, é usado o projeto atual ou predefinido.
- LOCATION: use esta flag para ver repositórios numa localização específica. Se configurou uma localização predefinida, pode omitir esta flag para usar a predefinição.
Para configurar as definições de análise para um novo repositório do Artifact Registry, consulte os artigos Crie repositórios padrão ou Crie repositórios remotos.
Desative a API Container Scanning
Esta secção explica como desativar a análise de vulnerabilidades para o seu projeto no Artifact Registry.
Quando desativa a API Container Scanning, a análise para todos os repositórios no seu projeto. As definições de análise de repositórios individuais são preservadas. Se tiver desativado anteriormente a análise em alguns repositórios e, posteriormente, reativar a API para o seu projeto, esses repositórios permanecem excluídos da análise.
Para atualizar as definições de análise de repositórios individuais, consulte o artigo Atualize repositórios.
Consola
Abra a página Definições do Artifact Registry:
Na secção Análise de vulnerabilidades, clique em Desativar.
gcloud
Execute o seguinte comando:
gcloud services disable containerscanning.googleapis.com
Prolongue o período de monitorização
A análise de artefactos monitoriza continuamente os metadados de vulnerabilidade das imagens analisadas no Artifact Registry. O período predefinido para a monitorização contínua é de 30 dias. Após este período, as imagens ficam desatualizadas e os resultados da análise de vulnerabilidades deixam de ser atualizados.
Para prolongar o período de monitorização, tem de extrair ou enviar a imagem no prazo de 30 dias. Recomendamos que crie uma tarefa agendada para voltar a enviar contentores que não exijam atualizações frequentes, por exemplo, as suas imagens do Istio e do proxy.