Dalam dokumen ini, Anda akan mempelajari cara mengaktifkan Container Scanning API, mengirim image ke Artifact Registry, dan melihat daftar kerentanan yang ditemukan dalam image.
Analisis Artefak memberikan informasi kerentanan untuk image container di Artifact Registry dan Container Registry (Tidak digunakan lagi). Metadata disimpan sebagai catatan. Kejadian dibuat untuk setiap instance catatan yang terkait dengan gambar. Lihat dokumen ringkasan dan harga untuk mengetahui informasi selengkapnya.
Mengaktifkan API ini juga akan mengaktifkan pemindaian paket bahasa di Artifact Registry. Lihat jenis paket yang didukung.
Sebelum memulai
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry and Container Scanning APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry and Container Scanning APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- Buat repositori Docker di Artifact Registry dan kirim image container ke repositori. Jika Anda belum terbiasa dengan Artifact Registry, lihat panduan memulai Docker.
Melihat kerentanan image
Artifact Analysis akan memindai image baru saat diupload ke Artifact Registry. Pemindaian ini mengekstrak informasi tentang paket sistem dalam penampung.
Anda dapat melihat kemunculan kerentanan untuk image di registry menggunakan konsol Google Cloud, Google Cloud CLI, atau Container Analysis API. Jika gambar memiliki kerentanan, Anda dapat memperoleh detailnya.
Analisis Artefak hanya memperbarui metadata untuk image yang di-push atau di-pull dalam 30 hari terakhir. Setelah 30 hari, metadata tidak akan lagi diperbarui, dan hasilnya akan menjadi usang. Selain itu, Analisis Artefak mengarsipkan metadata yang sudah tidak berlaku selama lebih dari 90 hari, dan metadata tersebut tidak akan tersedia di konsol Google Cloud, gcloud, atau dengan menggunakan API. Untuk memindai ulang gambar dengan metadata yang sudah tidak berlaku atau diarsipkan, tarik gambar tersebut. Memuat ulang metadata dapat memerlukan waktu hingga 24 jam.
Melihat kemunculan di konsol Google Cloud
Untuk melihat kerentanan dalam image:
Mendapatkan daftar repositori.
Di daftar repositori, klik repositori.
Di daftar gambar, klik nama gambar.
Jumlah total kerentanan untuk setiap ringkasan gambar ditampilkan di kolom Vulnerabilities.
Untuk melihat daftar kerentanan image, klik link di kolom Vulnerabilities.
Bagian Hasil pemindaian menampilkan ringkasan jenis paket yang dipindai, total kerentanan, kerentanan dengan perbaikan yang tersedia, kerentanan tanpa perbaikan, dan tingkat keparahan yang efektif.
Tabel kerentanan mencantumkan nama Common Vulnerabilities and Exposures (CVE) untuk setiap kerentanan yang ditemukan, keparahan efektif, skor Common Vulnerability Scoring System (CVSS), perbaikan (jika tersedia), nama paket yang berisi kerentanan, dan jenis paket.
Anda dapat memfilter dan mengurutkan file ini untuk memeriksa file, direktori, atau jenis file tertentu menurut ekstensi file.
Konsol Google Cloud menampilkan hingga 1.200 kerentanan dalam tabel ini. Jika image Anda memiliki lebih dari 1.200 kerentanan, Anda harus menggunakan gcloud atau API untuk melihat daftar lengkapnya.
Untuk mengetahui detail tentang CVE tertentu, klik nama CVE.
Untuk melihat detail kemunculan kerentanan seperti nomor versi dan lokasi yang terpengaruh, klik Lihat atau Lihat Perbaikan di baris dengan nama kerentanan. Teks link adalah Lihat untuk kerentanan tanpa perbaikan, dan Lihat Perbaikan untuk kerentanan yang telah diperbaiki.
Melihat kemunculan menggunakan gcloud
Untuk melihat kemunculan gambar:
Artifact Registry
gcloud artifacts docker images list --show-occurrences \
LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID
Dengan keterangan:
- LOCATION adalah lokasi repositori regional atau multi-regional.
- PROJECT_ID adalah project ID Google Cloud Anda.
- REPOSITORY adalah nama repositori tempat image disimpan.
- IMAGE_ID adalah nama image di repositori. Anda tidak dapat menentukan tag gambar dengan perintah ini.
Secara default, perintah ini menampilkan 10 image terbaru. Untuk menampilkan
jumlah gambar yang berbeda, gunakan flag --show-occurrences-from
.
Misalnya, perintah berikut menampilkan 25 gambar terbaru.
gcloud artifacts docker images list --show-occurrences-from=25 \
us-central1-docker.pkg.dev/my-project/my-repo/my-image
Container Registry
gcloud beta container images list-tags \
HOSTNAME/PROJECT_ID/IMAGE_ID
Dengan keterangan:
- HOSTNAME adalah nama host multi-region:
gcr.io
asia.gcr.io
eu.gcr.io
us.gcr.io
- PROJECT_ID adalah ID project yang berisi gambar.
- IMAGE_ID adalah ID image yang kerentanan-nya ingin Anda lihat. Anda tidak dapat menentukan tag gambar dengan perintah ini.
Secara default, perintah ini menampilkan 10 image terbaru. Untuk menampilkan
jumlah gambar yang berbeda, gunakan flag --show-occurrences-from
.
Misalnya, perintah ini menampilkan 25 gambar terbaru.
gcloud beta container images list-tags --show-occurrences-from=25 \
gcr.io/my-project/my-image
Untuk melihat kerentanan tag gambar atau lapisan:
Artifact Registry
gcloud artifacts docker images describe \
LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID:TAG \
--show-package-vulnerability
atau
gcloud artifacts docker images describe \
LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH \
--show-package-vulnerability
Dengan keterangan:
- LOCATION adalah lokasi repositori regional atau multi-regional.
- PROJECT_ID adalah project ID Google Cloud Anda.
- REPOSITORY adalah nama repositori tempat image disimpan.
- IMAGE_ID adalah nama image di repositori.
- TAG adalah tag gambar yang informasinya ingin Anda dapatkan.
- HASH adalah ringkasan image.
Container Registry
gcloud beta container images describe HOSTNAME/PROJECT_ID/IMAGE_ID@sha256:HASH \
--show-package-vulnerability
Dengan keterangan:
- HOSTNAME adalah nama host multi-region:
gcr.io
asia.gcr.io
eu.gcr.io
us.gcr.io
- PROJECT_ID adalah ID project yang berisi gambar.
- IMAGE_ID adalah ID image yang kerentanan-nya ingin Anda lihat.
- HASH adalah ringkasan image.
Untuk memfilter kemunculan kerentanan:
Artifact Registry
gcloud artifacts docker images list --show-occurrences \
LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID --occurrence-filter=FILTER_EXPRESSION
Dengan keterangan:
- LOCATION adalah lokasi repositori regional atau multi-regional.
- PROJECT_ID adalah project ID Google Cloud Anda.
- REPOSITORY adalah nama repositori tempat image disimpan.
- IMAGE_ID adalah nama image di repositori.
- FILTER_EXPRESSION adalah contoh ekspresi filter dalam format yang dijelaskan dalam Memfilter kemunculan kerentanan.
Container Registry
gcloud beta container images list-tags \
HOSTNAME/PROJECT_ID/IMAGE_ID --occurrence-filter=FILTER_EXPRESSION
Dengan keterangan:
- HOSTNAME adalah nama host multi-region:
gcr.io
asia.gcr.io
eu.gcr.io
us.gcr.io
- PROJECT_ID adalah ID project yang berisi gambar.
- IMAGE_ID adalah ID image yang kejadian kerentanannya ingin Anda lihat.
- FILTER_EXPRESSION adalah contoh ekspresi filter dalam format yang dijelaskan dalam Memfilter kemunculan kerentanan.
Melihat kemunculan menggunakan API atau kode
Untuk melihat kemunculan gambar, gunakan cuplikan yang sesuai. Cuplikan kode menentukan URL untuk image di Container Registry. Jika Anda menggunakan Artifact Registry, tentukan gambar dengan URL dalam format:
LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID
API
Menggunakan cURL
Untuk mendapatkan daftar kemunculan dalam project Anda:
curl -X GET -H "Content-Type: application/json" -H \
"Authorization: Bearer $(gcloud auth print-access-token)" \
https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences
Untuk mendapatkan ringkasan kerentanan dalam project Anda:
curl -X GET -H "Content-Type: application/json" -H \
"Authorization: Bearer $(gcloud auth print-access-token)" \
https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences:vulnerabilitySummary
Untuk mendapatkan detail tentang kemunculan tertentu:
curl -X GET -H "Content-Type: application/json" -H \
"Authorization: Bearer $(gcloud auth print-access-token)" \
https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences/OCCURRENCE_ID
Java
Untuk mempelajari cara menginstal dan menggunakan library klien untuk Analisis Artefak, lihat library klien Analisis Artefak. Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi Artifact Analysis Java API.
Untuk melakukan autentikasi ke Analisis Artefak, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.
Go
Untuk mempelajari cara menginstal dan menggunakan library klien untuk Analisis Artefak, lihat library klien Analisis Artefak. Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi Artifact Analysis Go API.
Untuk melakukan autentikasi ke Analisis Artefak, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.
Node.js
Untuk mempelajari cara menginstal dan menggunakan library klien untuk Analisis Artefak, lihat library klien Analisis Artefak. Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi Artifact Analysis Node.js API.
Untuk melakukan autentikasi ke Analisis Artefak, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.
Ruby
Untuk mempelajari cara menginstal dan menggunakan library klien untuk Analisis Artefak, lihat library klien Analisis Artefak. Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi Artifact Analysis Ruby API.
Untuk melakukan autentikasi ke Analisis Artefak, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.
Python
Untuk mempelajari cara menginstal dan menggunakan library klien untuk Analisis Artefak, lihat library klien Analisis Artefak. Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi Artifact Analysis Python API.
Untuk melakukan autentikasi ke Analisis Artefak, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.
Melihat kemunculan di Cloud Build
Jika menggunakan Cloud Build, Anda juga dapat melihat kerentanan image di panel samping Security insights dalam konsol Google Cloud.
Panel samping Insight keamanan memberikan ringkasan tingkat tinggi tentang informasi keamanan build untuk artefak yang disimpan di Artifact Registry. Untuk mempelajari panel samping lebih lanjut dan cara menggunakan Cloud Build untuk membantu melindungi supply chain software Anda, lihat Melihat insight keamanan build.
Memfilter kemunculan
Anda dapat menggunakan string filter dalam perintah gcloud
dan
Artifact Analysis API untuk memfilter kemunculan sebelum melihatnya. Bagian
berikut menjelaskan filter penelusuran yang didukung.
Melihat kemunculan penemuan
Saat pertama kali dikirim ke Container Registry, image akan membuat kejadian penemuan, yang berisi informasi tentang pemindaian awal image container.
Untuk mengambil kemunculan penemuan untuk gambar, gunakan ekspresi filter berikut:
kind="DISCOVERY" AND resourceUrl="RESOURCE_URL"
Cuplikan berikut menunjukkan cara menggunakan ekspresi filter untuk melihat kejadian penemuan untuk gambar. Cuplikan kode menentukan URL untuk image di Container Registry. Jika Anda menggunakan Artifact Registry, tentukan gambar dengan URL dalam format:
LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID
gcloud
Untuk melihat kemunculan penemuan gambar:
Dalam hal ini, ekspresi tidak digunakan langsung dalam perintah, tetapi informasi yang sama diteruskan sebagai argumen:
Artifact Registry:
gcloud artifacts docker images list --show-occurrences \
--occurrence-filter='kind="DISCOVERY"' --format=json \
LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID
Container Registry:
gcloud beta container images list-tags \
--occurrence-filter='kind="DISCOVERY"' --format=json HOSTNAME/PROJECT_ID/IMAGE_ID
API
Untuk mengambil kemunculan penemuan, ekspresi filter Anda harus dienkode URL
dan disematkan dalam permintaan GET
sebagai berikut:
GET https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences?filter=kind%3D%22DISCOVERY%22%20AND%20resourceUrl%3D%22ENCODED_RESOURCE_URL%22
Lihat endpoint API
projects.occurrences.get
untuk mengetahui detail selengkapnya.
Java
Untuk mempelajari cara menginstal dan menggunakan library klien untuk Analisis Artefak, lihat library klien Analisis Artefak. Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi Artifact Analysis Java API.
Untuk melakukan autentikasi ke Analisis Artefak, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.
Go
Untuk mempelajari cara menginstal dan menggunakan library klien untuk Analisis Artefak, lihat library klien Analisis Artefak. Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi Artifact Analysis Go API.
Untuk melakukan autentikasi ke Analisis Artefak, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.
Node.js
Untuk mempelajari cara menginstal dan menggunakan library klien untuk Analisis Artefak, lihat library klien Analisis Artefak. Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi Artifact Analysis Node.js API.
Untuk melakukan autentikasi ke Analisis Artefak, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.
Ruby
Untuk mempelajari cara menginstal dan menggunakan library klien untuk Analisis Artefak, lihat library klien Analisis Artefak. Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi Artifact Analysis Ruby API.
Untuk melakukan autentikasi ke Analisis Artefak, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.
Python
Untuk mempelajari cara menginstal dan menggunakan library klien untuk Analisis Artefak, lihat library klien Analisis Artefak. Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi Artifact Analysis Python API.
Untuk melakukan autentikasi ke Analisis Artefak, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.
Melihat kemunculan kerentanan
Untuk melihat kemunculan kerentanan untuk image tertentu, buat kueri dengan ekspresi filter:
kind="VULNERABILITY" AND resourceUrl="RESOURCE_URL"
Cuplikan berikut menunjukkan cara mengambil daftar kemunculan kerentanan untuk image. Cuplikan kode menentukan URL untuk image di Container Registry. Jika Anda menggunakan Artifact Registry, tentukan gambar dengan URL dalam format:
LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID
gcloud
Untuk melihat kemunculan kerentanan pada image:
Dalam hal ini, ekspresi tidak digunakan langsung dalam perintah, tetapi informasi yang sama diteruskan sebagai argumen:
Artifact Registry
gcloud artifacts docker images list --show-occurrences \
--occurrence-filter='kind="VULNERABILITY"' --format=json \
LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID
Container Registry
gcloud beta container images list-tags \
--occurrence-filter='kind="VULNERABILITY"' --format=json HOSTNAME/PROJECT_ID/IMAGE_ID
API
URL resource harus dienkode URL, dan disematkan dalam permintaan GET sebagai berikut:
GET https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences?filter=kind%3D%22VULNERABILITY%22%20AND%20resourceUrl%3D%22ENCODED_RESOURCE_URL%22
Lihat endpoint API
projects.occurrences.get
untuk mengetahui detail selengkapnya.
Java
Untuk mempelajari cara menginstal dan menggunakan library klien untuk Analisis Artefak, lihat library klien Analisis Artefak. Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi Artifact Analysis Java API.
Untuk melakukan autentikasi ke Analisis Artefak, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.
Go
Untuk mempelajari cara menginstal dan menggunakan library klien untuk Analisis Artefak, lihat library klien Analisis Artefak. Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi Artifact Analysis Go API.
Untuk melakukan autentikasi ke Analisis Artefak, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.
Node.js
Untuk mempelajari cara menginstal dan menggunakan library klien untuk Analisis Artefak, lihat library klien Analisis Artefak. Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi Artifact Analysis Node.js API.
Untuk melakukan autentikasi ke Analisis Artefak, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.
Ruby
Untuk mempelajari cara menginstal dan menggunakan library klien untuk Analisis Artefak, lihat library klien Analisis Artefak. Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi Artifact Analysis Ruby API.
Untuk melakukan autentikasi ke Analisis Artefak, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.
Python
Untuk mempelajari cara menginstal dan menggunakan library klien untuk Analisis Artefak, lihat library klien Analisis Artefak. Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi Artifact Analysis Python API.
Untuk melakukan autentikasi ke Analisis Artefak, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.
Melihat kemunculan jenis tertentu
Dalam dua contoh sebelumnya, satu-satunya perbedaan antara ekspresi filter
adalah nilai kind
, yang mengidentifikasi jenis kemunculan. Gunakan
kolom ini untuk membatasi daftar kemunculan ke jenis tertentu, seperti vulnerability atau deployment.
Untuk mengambil kemunculan gambar tertentu, gunakan ekspresi filter ini:
kind="NOTE_KIND" AND resourceUrl="RESOURCE_URL"
Dengan keterangan:
- NOTE_KIND adalah
jenis catatan.
- Misalnya, gunakan jenis
DISCOVERY
untuk mencantumkan kemunculan penemuan. Image ini dibuat untuk image saat pertama kali dikirim ke Container Registry. - Untuk mencantumkan kemunculan kerentanan, gunakan jenis
VULNERABILITY
.
- Misalnya, gunakan jenis
-
RESOURCE_URL adalah URL lengkap gambar
https://HOSTNAME/PROJECT_ID/IMAGE_ID@sha256:HASH
Ekspresi filter untuk mengambil kemunculan jenis tertentu di banyak gambar adalah:
kind="NOTE_KIND" AND has_prefix(resourceUrl, "RESOURCE_URL_PREFIX")
Dengan keterangan:
- RESOURCE_URL_PREFIX adalah awalan URL untuk beberapa gambar
- Untuk mencantumkan semua versi gambar:
https://HOSTNAME/PROJECT_ID/IMAGE_ID@
- Untuk mencantumkan semua image dalam project:
https://HOSTNAME/PROJECT_ID/
- Untuk mencantumkan semua versi gambar:
Melihat gambar yang terkait dengan catatan tertentu
Anda dapat mengambil daftar resource yang terkait dengan ID catatan tertentu. Misalnya, Anda dapat mencantumkan image dengan kerentanan CVE tertentu.
Untuk mencantumkan semua gambar dalam project yang terkait dengan catatan tertentu, gunakan ekspresi filter berikut:
noteProjectId="PROVIDER_PROJECT_ID" AND noteId="NOTE_ID"
Untuk memeriksa gambar tertentu untuk catatan tertentu, gunakan ekspresi filter berikut:
resourceUrl="RESOURCE_URL" AND noteProjectId="PROVIDER_PROJECT_ID" \ AND noteId="NOTE_ID"
Dengan keterangan:
- PROVIDER_PROJECT_ID adalah ID project penyedia. Misalnya,
goog-vulnz
menyediakan analisis kerentanan default. - NOTE_ID adalah ID catatan. Catatan terkait keamanan sering kali
diformat sebagai
CVE-2019-12345
. -
RESOURCE_URL adalah URL lengkap gambar
https://HOSTNAME/PROJECT_ID/IMAGE_ID@sha256:HASH
Misalnya, untuk memeriksa semua gambar yang memiliki kemunculan CVE-2017-16231 seperti yang dianalisis oleh Google, gunakan ekspresi filter berikut:
noteProjectId="goog-vulnz" AND noteId="CVE-2017-16231"
Langkah selanjutnya
Gunakan notifikasi Pub/Sub untuk mendapatkan notifikasi tentang kerentanan dan metadata lainnya.
Kritis Signer dan Voucher memungkinkan Anda membuat pengesahan Otorisasi Biner sebagai bagian dari pipeline build. Alat ini dapat membuat atestasi Otorisasi Biner berdasarkan hasil pemindaian kerentanan. Untuk mengetahui informasi selengkapnya, lihat Membuat pengesahan dengan Kritis Signer atau Membuat pengesahan dengan Voucher.