Verificar pacotes Java manualmente

Este guia de início rápido mostra como extrair uma imagem de contêiner, fazer a verificação manual dela com a verificação sob demanda e recuperar as vulnerabilidades identificadas para pacotes do sistema e do Maven. Para seguir este guia de início rápido, você vai usar o Cloud Shell e um exemplo de imagem Alpine.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the On-Demand Scanning API.

    Enable the API

    5.

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the On-Demand Scanning API.

    Enable the API

    8.

Fazer o download e verificar uma imagem

  1. Abra um Cloud Shell no projeto.

    Abrir o Cloud Shell

    Isso abre um terminal com todas as ferramentas necessárias para seguir este guia.

  2. Use o Docker para extrair a imagem do contêiner:

    docker pull jenkins:2.60.3-alpine

  3. Execute a verificação:

    gcloud artifacts docker images scan jenkins:2.60.3-alpine --additional-package-types=MAVEN

    Isso aciona o processo de verificação e retorna o nome da verificação quando concluído:

    ✓ Scanning container image 
  ✓ Locally extracting packages and versions from local container image
  ✓ Remotely initiating analysis of packages and versions
  ✓ Waiting for analysis operation to complete [projects/my-project/locations/us/operations/1a6fd941-b997-4e5f-ba4f-6351f30e7dad]
Done.

done: true
metadata:
  '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesMetadata
  createTime: '2021-01-26T13:43:53.112123Z'
  resourceUri: jenkins:2.60.3-alpine
name: projects/my-project/locations/us/operations/1a6fd941-b99f-4eaf-ba4f-6e5af30e7dad
response:
  '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesResponse
  scan: projects/my-project/locations/us/scans/893c91ce-7fe6-4f1a-a69a-d6ca1b465160

  4. Use o nome da verificação, o valor de scan da saída, para buscar os resultados da verificação:

    gcloud artifacts docker images list-vulnerabilities \
projects/my-project/locations/us/scans/893c91ce-7fe6-4f1a-a69a-d6ca1b465160

    A saída contém uma lista de vulnerabilidades do Maven e do pacote Linux. As vulnerabilidades do pacote Maven podem ser identificadas pelo campo packageType:MAVEN.

Limpar

Para evitar cobranças na conta do Google Cloud pelos recursos usados nesta página, siga estas etapas.

Se você criou um novo projeto para este guia, agora pode excluí-lo.

  • Abra a página "Configurações" (encontrada em "IAM e administrador") no console do Google Cloud.

    Abrir a página "Configurações"

  • Clique em Selecionar um projeto.

  • Selecione um projeto que você queira e clique em Abrir.

  • Clique em Encerrar.

  • Digite o ID do projeto e clique em Encerrar.

A seguir