A API On-Demand Scanning permite verificar imagens armazenadas localmente no computador ou remotamente no Artifact Registry ou no Container Registry. É possível usar a verificação sob demanda para verificar imagens no pipeline de CI/CD em busca de vulnerabilidades do sistema e do pacote Java (Maven) antes de decidir se elas devem ser armazenadas em um registro. Consulte a página de preços para mais informações.
Esta página descreve como verificar manualmente imagens de contêiner em busca de vulnerabilidades do sistema e dos pacotes do Maven.
Antes de começar
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the On-Demand Scanning API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the On-Demand Scanning API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Adicione o componente local-extract à instalação da Google Cloud CLI
Como usar o Gerenciador de componentes da CLI do Google Cloud
O gerenciador de componentes vai solicitar a instalação dos componentes necessários na primeira vez que você executar o comando de verificação.
Como usar o gerenciador de pacotes do sistema
-
Para Debian/Ubuntu:
sudo apt install google-cloud-sdk-local-extract
-
Para Red Hat/Fedora/CentOS:
sudo dnf install google-cloud-sdk-local-extract
Como alternativa, substitua
dnf
poryum
no comando anterior.
-
Para Debian/Ubuntu:
- Conceda o papel do IAM Administrador de verificação sob demanda à conta de usuário ou de serviço que você vai usar com a verificação sob demanda. Se você estiver usando a conta de proprietário do projeto para executar as verificações, pule esta etapa.
Como verificar uma imagem de contêiner
Busca local:
gcloud artifacts docker images scan IMAGE_URI \ [--location=(us,europe,asia)] [--async]
Para uma imagem local, use um dos seguintes formatos para o IMAGE_URI:
REPOSITORY:TAG
REPOSITORY
Varredura remota:
gcloud artifacts docker images scan IMAGE_URI \ --remote [--location=(us,europe,asia)] [--async]
Para uma imagem remota, use um dos seguintes formatos para o IMAGE_URI:
HOSTNAME/PROJECT_ID/REPOSITORY_ID/IMAGE_ID@sha256:HASH
HOSTNAME/PROJECT_ID/REPOSITORY_ID/IMAGE_ID:HASH
HOSTNAME/PROJECT_ID/REPOSITORY_ID/IMAGE_ID
HOSTNAME/PROJECT_ID/IMAGE_ID@sha256:HASH
HOSTNAME/PROJECT_ID/IMAGE_ID:HASH
HOSTNAME/PROJECT_ID/IMAGE_ID
Para imagens no Artifact Registry, o IMAGE_URI precisa incluir o
REPOSITORY_ID
.
Para verificações locais e remotas, use as seguintes flags opcionais:
--location
é uma flag opcional para selecionar manualmente a multirregião em que a verificação é realizada. Escolher uma multirregião mais próxima da sua localização física minimiza a latência. Os locais disponíveis são:us
,europe
easia
. O local padrão éus
.--async
é uma flag opcional para executar o processo de verificação de forma assíncrona. Se você omitir essa flag, o terminal será bloqueado até que o processo de verificação seja concluído.
Verificação síncrona
O exemplo a seguir mostra a saída de uma verificação síncrona, sem a
flag --async
:
$ gcloud artifacts docker images scan jenkins:2.60.3-alpine ✓ Scanning container image ✓ Locally extracting packages and versions from local container image ✓ Remotely initiating analysis of packages and versions ✓ Waiting for analysis operation to complete [projects/my-project/locations/us/operations/87d2e137-1d1c-4790-8e5e-daf6c96ae7d7] Done. done: true metadata: '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesMetadata createTime: '2021-01-05T23:03:04.185261Z' resourceUri: jenkins:2.60.3-alpine name: projects/my-project/locations/us/operations/87d2e137-1d1c-4790-8e5e-daf6c96ae7d7 response: '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesResponse scan: projects/my-project/locations/us/scans/2fe2bfb8-f0c5-4dd6-a8c8-38961869767a
Use o nome da verificação para extrair os resultados de vulnerabilidade. No
exemplo, o nome da verificação é o valor de scan
na última linha da mensagem
de saída.
Verificação assíncrona
O exemplo a seguir mostra a saída da execução de uma verificação assíncrona:
$ gcloud artifacts docker images scan jenkins:2.60.3-alpine --async ✓ Scanning container image ✓ Locally extracting packages and versions from local container image ✓ Remotely initiating analysis of packages and versions Done. Check operation [projects/cloud-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16] for status. metadata: '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesMetadata createTime: '2021-01-05T23:04:54.393510Z' resourceUri: jenkins:2.60.3-alpine name: projects/my-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16
Isso inicia uma operação de longa duração e retorna o ID dela sem bloquear o
terminal. Use o ID da operação, o valor de name
na última linha da
mensagem de saída, para pesquisar a operação.
Como pesquisar a operação de longa duração
Use o ID da operação da saída do comando de verificação assíncrona para verificar o status da operação:
gcloud artifacts docker images get-operation LRO_ID
em que LRO_ID é o ID da operação de longa duração.
Continuando com o exemplo da seção de verificação assíncrona, para verificar o status da operação:
$ gcloud artifacts docker images get-operation \ projects/cloud-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16 done: true metadata: '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesMetadata createTime: '2021-01-05T23:04:54.393510Z' resourceUri: jenkins:2.60.3-alpine name: projects/my-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16 response: '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesResponse scan: projects/my-project/locations/us/scans/2fe2bfb8-f0c5-4dd6-a8c8-38961869767a
Se a saída incluir a linha done: true
, a operação de digitalização será
concluída. Use o nome da verificação para recuperar os resultados de vulnerabilidade.
O nome da verificação é o valor de scan
na última linha da mensagem de saída.
Extrair os resultados da verificação
Para extrair os resultados da verificação após a conclusão da operação, use o seguinte comando:
gcloud artifacts docker images list-vulnerabilities SCAN_NAME [--limit=X]
Em que:
SCAN_NAME é o nome da verificação. Ele pode ser encontrado na última linha da saída quando você executa uma verificação síncrona ou pesquisa a operação de longa duração, após a verificação ser concluída.
--limit=X
é uma flag opcional que limita o número de ocorrências mostradas na saída.X
é um valor numérico.
Exemplo:
createTime: '2021-06-29T17:01:18.819477Z' kind: VULNERABILITY name: projects/my-project/locations/us/occurrences/06305977-f557-4772-8586-4260684291d3 noteName: projects/my-project/notes/CVE-2014-0114 resourceUri: jenkins:2.60.3-alpine updateTime: '2021-06-29T17:01:18.819477Z' vulnerability: cvssScore: 4.3 effectiveSeverity: MEDIUM longDescription: http/conn/ssl/SSLConnectionSocketFactory.java in ... packageIssue: - affectedCpeUri: cpe:/o:alpine:alpine_linux:3.13 affectedPackage: org.apache.httpcomponents:httpclient affectedVersion: fullName: 4.0.2 kind: NORMAL name: 4.0.2 effectiveSeverity: MEDIUM fixedCpeUri: cpe:/o:alpine:alpine_linux:3.13 fixedPackage: org.apache.httpcomponents:httpclient fixedVersion: fullName: 4.3.6 kind: NORMAL name: 4.3.6 packageType: MAVEN relatedUrls: - label: More Info url: https://security-tracker.debian.org/tracker/CVE-2015-5262 severity: MEDIUM shortDescription: CVE-2015-5262
A saída desse comando é uma
lista de ocorrências no formato Grafeas. Nesse
caso, ele mostra uma vulnerabilidade de gravidade média encontrada na imagem. As vulnerabilidades do pacote
Maven contêm o campo packageType:MAVEN
.
Os resultados da verificação ficam disponíveis por 48 horas após a conclusão da operação.
A seguir
- Use a API On-Demand Scanning no seu pipeline do Cloud Build.
- Use o Artifact Analysis para verificar e atualizar continuamente as informações de vulnerabilidade das imagens armazenadas no Artifact Registry.