Dengan On-Demand Scanning API, Anda dapat memindai image yang disimpan secara lokal di komputer, atau dari jarak jauh di Artifact Registry atau Container Registry. Tindakan ini memberi Anda kontrol terperinci atas container yang ingin Anda pindai untuk menemukan kerentanan. Anda dapat menggunakan Pemindaian On-Demand untuk memindai image di pipeline CI/CD sebelum memutuskan apakah akan menyimpannya di registry. Lihat Halaman harga untuk mengetahui informasi harga.
Halaman ini menjelaskan cara memindai image container secara manual dengan Pemindaian On-Demand.
Sebelum memulai
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.
-
Make sure that billing is enabled for your Google Cloud project.
-
Aktifkan API On-Demand Scanning.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.
-
Make sure that billing is enabled for your Google Cloud project.
-
Aktifkan API On-Demand Scanning.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Menambahkan komponen local-extract ke penginstalan Google Cloud CLI Anda
Menggunakan Pengelola Komponen Google Cloud CLI
Pengelola komponen akan meminta Anda menginstal komponen yang diperlukan saat pertama kali menjalankan perintah pemindaian.
Menggunakan pengelola paket sistem
-
Untuk Debian/Ubuntu:
sudo apt install google-cloud-sdk-local-extract
-
Untuk Red Hat/Fedora/CentOS:
sudo dnf install google-cloud-sdk-local-extract
Atau, Anda dapat mengganti
dnf
denganyum
dalam perintah sebelumnya.
-
Untuk Debian/Ubuntu:
- Berikan peran IAM On-Demand Scanning Admin kepada akun pengguna atau layanan yang akan Anda gunakan dengan Pemindaian On-Demand. Jika menggunakan akun pemilik project untuk menjalankan pemindaian, Anda dapat melewati langkah ini.
Memindai image container
Pemindaian lokal:
gcloud artifacts docker images scan IMAGE_URI \ [--location=(us,europe,asia)] [--async]
Untuk image lokal, gunakan salah satu format berikut untuk IMAGE_URI:
REPOSITORY:TAG
REPOSITORY
Pemindaian jarak jauh:
gcloud artifacts docker images scan IMAGE_URI \ --remote [--location=(us,europe,asia)] [--async]
Untuk image jarak jauh, gunakan salah satu format berikut untuk IMAGE_URI:
HOSTNAME/PROJECT_ID/REPOSITORY_ID/IMAGE_ID@sha256:HASH
HOSTNAME/PROJECT_ID/REPOSITORY_ID/IMAGE_ID:HASH
HOSTNAME/PROJECT_ID/REPOSITORY_ID/IMAGE_ID
HOSTNAME/PROJECT_ID/IMAGE_ID@sha256:HASH
HOSTNAME/PROJECT_ID/IMAGE_ID:HASH
HOSTNAME/PROJECT_ID/IMAGE_ID
Untuk image di Artifact Registry, IMAGE_URI harus menyertakan
REPOSITORY_ID
.
Untuk pemindaian lokal dan jarak jauh, Anda dapat menggunakan flag opsional berikut:
--location
adalah flag untuk memilih multi-region tempat pemindaian dilakukan secara manual. Memilih multi-region yang lebih dekat dengan lokasi fisik Anda akan meminimalkan latensi. Lokasi yang tersedia adalah:us
,europe
, danasia
. Lokasi defaultnya adalahus
.--async
adalah tanda untuk menjalankan proses pemindaian secara asinkron. Jika Anda menghilangkan tanda ini, terminal Anda akan diblokir hingga proses pemindaian selesai.
Pemindaian sinkron
Contoh berikut menunjukkan output pemindaian sinkron, tanpa
tanda --async
:
$ gcloud artifacts docker images scan ubuntu:latest ✓ Scanning container image ✓ Locally extracting packages and versions from local container image ✓ Remotely initiating analysis of packages and versions ✓ Waiting for analysis operation to complete [projects/my-project/locations/us/operations/87d2e137-1d1c-4790-8e5e-daf6c96ae7d7] Done. done: true metadata: '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesMetadata createTime: '2021-01-05T23:03:04.185261Z' resourceUri: ubuntu:latest name: projects/my-project/locations/us/operations/87d2e137-1d1c-4790-8e5e-daf6c96ae7d7 response: '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesResponse scan: projects/my-project/locations/us/scans/2fe2bfb8-f0c5-4dd6-a8c8-38961869767a
Gunakan nama pemindaian untuk mengambil hasil kerentanan.
Nama pemindaian adalah nilai scan
di baris terakhir pesan output.
Pemindaian asinkron
Contoh berikut menunjukkan output dari pemindaian asinkron:
$ gcloud artifacts docker images scan ubuntu:latest --async ✓ Scanning container image ✓ Locally extracting packages and versions from local container image ✓ Remotely initiating analysis of packages and versions Done. Check operation [projects/cloud-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16] for status. metadata: '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesMetadata createTime: '2021-01-05T23:04:54.393510Z' resourceUri: ubuntu:latest name: projects/my-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16
Tindakan ini akan meluncurkan operasi yang berjalan lama dan menampilkan ID-nya tanpa memblokir
terminal Anda. Gunakan ID operasi, nilai name
di baris terakhir pesan output, untuk melakukan polling pada operasi.
Jajak pendapat untuk menjalankan operasi yang berjalan lama
Gunakan ID operasi, dari output perintah pemindaian asinkron, untuk memeriksa status operasi.
gcloud artifacts docker images get-operation LRO_ID
Dengan LRO_ID adalah ID operasi yang berjalan lama.
Melanjutkan contoh bagian pemindaian asinkron, untuk memeriksa status operasi:
$ gcloud artifacts docker images get-operation \ projects/cloud-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16 done: true metadata: '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesMetadata createTime: '2021-01-05T23:04:54.393510Z' resourceUri: ubuntu:latest name: projects/my-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16 response: '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesResponse scan: projects/my-project/locations/us/scans/2fe2bfb8-f0c5-4dd6-a8c8-38961869767a
Jika output menyertakan baris done: true
, operasi pemindaian
selesai. Gunakan nama pemindaian untuk mengambil hasil kerentanan
Nama tersebut adalah nilai scan
di baris terakhir pesan output
Mengambil hasil pemindaian
Untuk mengambil hasil pemindaian setelah operasi pemindaian selesai, gunakan perintah berikut:
gcloud artifacts docker images list-vulnerabilities SCAN_NAME [--limit=X]
Dengan keterangan:
- SCAN_NAME adalah nama pemindaian. Anda dapat menemukannya di bagian bawah output saat melakukan polling operasi yang berjalan lama, setelah pemindaian selesai.
--limit=X
adalah flag opsional yang membatasi jumlah kemunculan yang ditampilkan dalam output.X
adalah nilai numerik.
Contoh:
gcloud artifacts docker images list-vulnerabilities \ projects/my-project/locations/us/scans/2fe2bfb8-f0c5-4dd6-a8c8-38961869767a createTime: '2021-01-05T23:05:42.956227Z' kind: VULNERABILITY name: projects/my-project/locations/us/occurrences/f82a1efd-a261-4973-acbd-f9854d8b8135 noteName: projects/goog-vulnz/notes/CVE-2018-1000654 resourceUri: ubuntu:latest updateTime: '2021-01-05T23:05:42.956227Z' vulnerability: cvssScore: 7.1 cvssv3: attackComplexity: ATTACK_COMPLEXITY_LOW attackVector: ATTACK_VECTOR_NETWORK availabilityImpact: IMPACT_HIGH baseScore: 7.2 confidentialityImpact: IMPACT_HIGH exploitabilityScore: 1.2 impactScore: 5.9 integrityImpact: IMPACT_HIGH privilegesRequired: PRIVILEGES_REQUIRED_HIGH scope: SCOPE_UNCHANGED userInteraction: USER_INTERACTION_NONE effectiveSeverity: MEDIUM
Output perintah ini adalah daftar kemunculan dalam format Grafeas. Dalam hal ini, laporan menunjukkan kerentanan dengan tingkat keparahan sedang yang ditemukan dalam gambar.
Hasil pemindaian tersedia selama 48 jam setelah operasi pemindaian selesai.
Langkah selanjutnya
- Gunakan On-Demand Scanning API di pipeline Cloud Build Anda.
- Gunakan Artifact Analysis untuk memindai dan terus memperbarui informasi kerentanan untuk image yang disimpan di Artifact Registry.