이 문서에서는 메모 및 어커런스 업데이트에 대한 알림을 설정하는 방법을 설명합니다.
Artifact Analysis는 자동 스캔으로 발견된 취약점과 기타 메타데이터에 대해 Pub/Sub를 통해 알림을 제공합니다. 메모 또는 어커런스가 생성되거나 업데이트되면 각 API 버전에 해당하는 주제에 메시지가 게시됩니다. 사용 중인 API 버전의 주제를 사용하세요.
시작하기 전에
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Enable the Container Analysis API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Enable the Container Analysis API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- 프로젝트의 메타데이터에 대한 액세스 제어를 설정하는 방법을 알아보세요. Artifact Analysis 컨테이너 스캔으로 생성된 취약점 어커런스의 메타데이터만 사용하는 경우 이 단계를 건너뜁니다.
Pub/Sub 주제 만들기
Artifact Analysis API를 활성화하면 Artifact Analysis는 다음 주제 ID로 Pub/Sub 주제를 자동으로 만듭니다.
container-analysis-notes-v1
container-analysis-occurrences-v1
주제가 실수로 삭제되거나 누락된 경우 직접 추가할 수 있습니다. 예를 들어 Google Cloud 조직에 고객 관리 암호화 키 (CMEK)로 암호화해야 하는 조직 정책 제약조건이 있는 경우 주제가 누락될 수 있습니다. Pub/Sub API가 이 제약조건의 거부 목록에 있으면 서비스에서 Google 소유 및 Google 관리 키로 주제를 자동으로 만들 수 없습니다.
Google 소유 및 Google 관리 키로 주제를 만들려면 다음 안내를 따르세요.
콘솔
Google Cloud Console에서 Pub/Sub 주제 페이지로 이동합니다.
주제 만들기를 클릭합니다.
주제 ID를 입력합니다.
container-analysis-notes-v1
이름이 URI와 일치하도록 합니다.
projects/PROJECT_ID/topics/container-analysis-notes-v1
여기서 PROJECT_ID는 Google Cloud 프로젝트 ID입니다.
만들기를 클릭합니다.
주제 ID를 입력합니다.
container-analysis-occurrences-v1
이름이 URI와 일치하도록 합니다.
projects/PROJECT_ID/topics/container-analysis-occurrences-v1
gcloud
셸 또는 터미널 창에서 다음 명령어를 실행합니다.
gcloud pubsub topics create projects/PROJECT_ID/topics/container-analysis-notes-v1
gcloud pubsub topics create projects/PROJECT_ID/topics/container-analysis-occurrences-v1
gcloud pubsub topics
명령어에 대한 자세한 내용은 topics
문서를 참조하세요.
CMEK 암호화로 주제를 만들려면 Pub/Sub 주제 암호화 안내를 참고하세요.
메모나 어커런스가 작성되거나 업데이트될 때마다 해당 주제에 메시지가 게시되지만, 이벤트를 수신하고 Pub/Sub 서비스에서 메시지를 수신하려면 Pub/Sub 정기 결제도 만들어야 합니다.
Pub/Sub 구독 만들기
이벤트를 수신하려면 주제와 연결된 Pub/Sub 구독을 만듭니다.
콘솔
Google Cloud 콘솔에서 Pub/Sub 구독 페이지로 이동합니다.
구독 만들기를 클릭합니다.
구독 이름을 입력합니다. 예를 들어 메모가 있습니다.
메모의 주제 URI를 입력합니다.
projects/PROJECT_ID/topics/container-analysis-notes-v1
여기서 PROJECT_ID는 Google Cloud 프로젝트 ID입니다.
만들기를 클릭합니다.
URI와 함께 또 다른 어커런스 구독을 만듭니다.
projects/PROJECT_ID/topics/container-analysis-occurrences-v1
gcloud
Pub/Sub 이벤트를 수신하려면 먼저 container-analysis-occurrences-v1
주제와 관련된 구독을 만들어야 합니다.
gcloud pubsub subscriptions create \
--topic container-analysis-occurrences-v1 occurrences
이후에는 새 구독을 이용해 어커런스에 대한 메시지를 가져올 수 있습니다.
gcloud pubsub subscriptions pull \
--auto-ack occurrences
Java
아티팩트 분석용 클라이언트 라이브러리를 설치하고 사용하는 방법은 아티팩트 분석 클라이언트 라이브러리를 참고하세요. 자세한 내용은 Artifact Analysis Java API 참조 문서를 참고하세요.
Artifact Analysis에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요.
Go
아티팩트 분석용 클라이언트 라이브러리를 설치하고 사용하는 방법은 아티팩트 분석 클라이언트 라이브러리를 참고하세요. 자세한 내용은 Artifact Analysis Go API 참조 문서를 참고하세요.
Artifact Analysis에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요.
Node.js
아티팩트 분석용 클라이언트 라이브러리를 설치하고 사용하는 방법은 아티팩트 분석 클라이언트 라이브러리를 참고하세요. 자세한 내용은 Artifact Analysis Node.js API 참조 문서를 참고하세요.
Artifact Analysis에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요.
Ruby
아티팩트 분석용 클라이언트 라이브러리를 설치하고 사용하는 방법은 아티팩트 분석 클라이언트 라이브러리를 참고하세요. 자세한 내용은 Artifact Analysis Ruby API 참조 문서를 참고하세요.
Artifact Analysis에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요.
Python
아티팩트 분석용 클라이언트 라이브러리를 설치하고 사용하는 방법은 아티팩트 분석 클라이언트 라이브러리를 참고하세요. 자세한 내용은 Artifact Analysis Python API 참조 문서를 참고하세요.
Artifact Analysis에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요.
구독자 애플리케이션은 구독이 생성된 후에만 주제에 게시된 메시지를 수신합니다.
Pub/Sub 페이로드는 JSON 형식이며 스키마는 다음과 같습니다.
메모:
{ "name": "projects/PROJECT_ID/notes/NOTE_ID", "kind": "NOTE_KIND", "notificationTime": "NOTIFICATION_TIME", }
어커런스:
{ "name": "projects/PROJECT_ID/occurrences/OCCURRENCE_ID", "kind": "NOTE_KIND", "notificationTime": "NOTIFICATION_TIME", }
각 항목의 의미는 다음과 같습니다.
- NOTE_KIND는
NoteKind
의 값 중 하나입니다. - NOTIFICATION_TIME는 RFC 3339 UTC 'Zulu' 형식의 타임스탬프로, 나노초 단위까지 정확합니다.
세부정보 보기
메모 또는 발생 횟수에 대해 자세히 알아보려면 아티팩트 분석에 저장된 메타데이터에 액세스하면 됩니다. 예를 들어 특정 발생에 관한 모든 세부정보를 요청할 수 있습니다. 취약점 조사의 안내를 참고하세요.
다음 단계
아티팩트 분석을 사용하여 커스텀 메타데이터를 저장하고 관리하는 방법에 관한 안내는 커스텀 메모 및 인스턴스 만들기를 참고하세요.
취약점 스캔과 함께 증명을 사용하면 알려진 보안 문제가 있는 이미지가 배포 환경에서 실행되는 것을 방지할 수 있습니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 Kritis 서명자로 증명 만들기를 참고하세요.