En este documento se explica cómo habilitar la API Container Scanning, enviar una imagen a Artifact Registry y ver la lista de vulnerabilidades encontradas en la imagen.
Artifact Analysis almacena información sobre vulnerabilidades como notas. Se crea una ocurrencia por cada instancia de una nota asociada a una imagen. Consulta los documentos de descripción general y precios para obtener más información.
Antes de empezar
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry and Container Scanning APIs.
-
Install the Google Cloud CLI.
-
Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.
-
Para inicializar gcloud CLI, ejecuta el siguiente comando:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry and Container Scanning APIs.
-
Install the Google Cloud CLI.
-
Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.
-
Para inicializar gcloud CLI, ejecuta el siguiente comando:
gcloud init
- Crea un repositorio de Docker en Artifact Registry y envía una imagen de contenedor con tu código npm al repositorio. Si no estás familiarizado con Artifact Registry, consulta la guía de inicio rápido de Docker.
Obtén la lista de repositorios.
En la lista de repositorios, haz clic en uno.
En la lista de imágenes, haz clic en el nombre de una imagen.
Los totales de vulnerabilidades de cada digest de imagen se muestran en la columna Vulnerabilidades.
Para ver la lista de vulnerabilidades de una imagen, haga clic en el enlace de la columna Vulnerabilidades.
En la sección Resultados del análisis se muestra un resumen de los tipos de paquetes analizados, el número total de vulnerabilidades, las vulnerabilidades con correcciones disponibles, las vulnerabilidades sin correcciones y la gravedad efectiva.
En la tabla de vulnerabilidades se indica el nombre de la lista Common Vulnerabilities and Exposures (CVE) de cada vulnerabilidad detectada, la gravedad efectiva, la puntuación del sistema de puntuación Common Vulnerability Scoring System (CVSS), las correcciones (si están disponibles), el nombre del paquete que contiene la vulnerabilidad y el tipo de paquete.
Puedes filtrar y ordenar estos archivos para consultar un archivo, un directorio o un tipo de archivo específico por extensión.
Google Cloud La consola muestra hasta 1200 vulnerabilidades en esta tabla. Si tu imagen tiene más de 1200 vulnerabilidades, debes usar gcloud o la API para ver la lista completa.
Para obtener información sobre una CVE específica, haz clic en su nombre.
Para ver los detalles de la vulnerabilidad, como el número de versión y la ubicación afectada, haga clic en Ver o Ver corregido en la fila con el nombre de la vulnerabilidad. El texto del enlace es Ver para las vulnerabilidades sin corrección y Ver corregidas para las vulnerabilidades en las que se ha aplicado una corrección.
- LOCATION es la ubicación regional o multirregional del repositorio.
- PROJECT_ID es el Google Cloud ID del proyecto de la consola.
- REPOSITORY es el nombre del repositorio en el que se almacena la imagen.
IMAGE_ID es el nombre de la imagen en el repositorio. No puedes especificar una etiqueta de imagen con este comando.
De forma predeterminada, el comando devuelve las 10 imágenes más recientes. Para mostrar un número diferente de imágenes, usa la marca
--show-occurrences-from
. Por ejemplo, el siguiente comando devuelve las 25 imágenes más recientes.gcloud artifacts docker images list --show-occurrences-from=25 \ us-central1-docker.pkg.dev/my-project/my-repo/my-image
- LOCATION es la ubicación regional o multirregional del repositorio.
- PROJECT_ID es el Google Cloud ID del proyecto de la consola.
- REPOSITORY es el nombre del repositorio en el que se almacena la imagen.
- IMAGE_ID es el nombre de la imagen en el repositorio.
- TAG es la etiqueta de imagen sobre la que quieres obtener información.
HASH es el digest de la imagen.
Artifact Analysis devuelve resultados, incluido el
packageType
.- LOCATION es la ubicación regional o multirregional del repositorio.
- PROJECT_ID es el Google Cloud ID del proyecto de la consola.
- REPOSITORY es el nombre del repositorio en el que se almacena la imagen.
- IMAGE_ID es el nombre de la imagen en el repositorio.
- FILTER_EXPRESSION es una expresión de filtro de ejemplo con el formato que se explica en Filtrar incidencias de vulnerabilidades.
DEPLOYMENT
es el tipo de ocurrencia.- RESOURCE_URL es la URL completa de la imagen en el formato
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH
. - RESOURCE_URL_PREFIX especifica una subcadena de una URL de recurso.
- Para filtrar todas las versiones de una imagen, omite el digest de la imagen. Usa el formato
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@
. - Para filtrar todas las imágenes de un proyecto, solo tienes que especificar la ubicación del recurso y el proyecto. Usa el formato
https://LOCATION-docker.pkg.dev/PROJECT_ID/
.
- Para filtrar todas las versiones de una imagen, omite el digest de la imagen. Usa el formato
- ENCODED_RESOURCE_URL es la ruta codificada de tu imagen. Para obtener información sobre la codificación, consulta el artículo sobre la codificación de URLs.
VULNERABILITY
es el tipo de ocurrencia.- PACKAGE_TYPE es el tipo de paquete de idioma de la aplicación.
Los tipos disponibles son:
COMPOSER
,GO
,MAVEN
,NPM
,NUGET
,PYTHON
,RUBYGEMS
yRUST
. - LOCATION es la ubicación regional o multirregional del repositorio.
- PROJECT_ID es el Google Cloud ID del proyecto de la consola.
- REPOSITORY es el nombre del repositorio en el que se almacena la imagen.
- IMAGE_ID es el nombre de la imagen en el repositorio. No puedes especificar una etiqueta de imagen con este comando.
goog-vulnz
es elPROVIDER_PROJECT_ID
para el análisis de vulnerabilidades de Artifact Analysis. Si usas Artifact Analysis en un proyecto personalizado, puedes sustituir este valor por el ID de tu proyecto de proveedor.- LOCATION es la ubicación regional o multirregional del repositorio.
- PROJECT_ID es el Google Cloud ID del proyecto de la consola.
- NOTE_ID es el ID de la nota. Por ejemplo, cuando vea una vulnerabilidad en los resultados del análisis de artefactos, a menudo se usará el formato de ID de CVE, como
CVE-2019-12345
. goog-vulnz
es elPROVIDER_PROJECT_ID
para el análisis de vulnerabilidades de Artifact Analysis. Si usas Artifact Analysis en un proyecto personalizado, puedes sustituir este valor por el ID de tu proyecto de proveedor.- ENCODED_RESOURCE_URL es la ruta codificada de tu imagen. Para obtener información sobre la codificación, consulta el artículo sobre la codificación de URLs.
- NOTE_ID es el ID de la nota. Por ejemplo, cuando vea una vulnerabilidad en los resultados del análisis de artefactos, a menudo se usará el formato de ID de CVE, como
CVE-2019-12345
. - LOCATION es la ubicación regional o multirregional del repositorio.
- PROJECT_ID es el Google Cloud ID del proyecto de la consola.
- REPOSITORY es el nombre del repositorio en el que se almacena la imagen.
- IMAGE_ID es el nombre de la imagen en el repositorio. No puedes especificar una etiqueta de imagen con este comando.
- RESOURCE_URL es la URL completa de la imagen en el formato
https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH
. goog-vulnz
es elPROVIDER_PROJECT_ID
para el análisis de vulnerabilidades de Artifact Analysis. Si usas Artifact Analysis en un proyecto personalizado, puedes sustituir este valor por el ID de tu proyecto de proveedor.- NOTE_ID es el ID de la nota. Las notas relacionadas con la seguridad suelen tener el formato
CVE-2019-12345
. Usa las notificaciones de Pub/Sub para recibir notificaciones sobre vulnerabilidades y otros metadatos.
Crea atestaciones integrando Artifact Analysis con autorización binaria para evitar que se ejecuten en tu entorno de despliegue imágenes de contenedor con problemas de seguridad conocidos.
Ver las vulnerabilidades de la imagen
Artifact Analysis analiza las imágenes nuevas cuando se suben a Artifact Registry. Este análisis extrae información sobre los paquetes del contenedor.
Puedes ver las vulnerabilidades de tus imágenes en Artifact Registry mediante la Google Cloud consola, la CLI de Google Cloud o la API Container Analysis. Si una imagen tiene vulnerabilidades, puedes obtener los detalles.
Análisis de artefactos solo actualiza los metadatos de las imágenes que se han insertado o extraído en los últimos 30 días. Transcurridos 30 días, los metadatos dejarán de actualizarse y los resultados estarán obsoletos. Además, Análisis de artefactos archiva los metadatos que no se han actualizado en más de 90 días, y estos no estarán disponibles en la consola de Google Cloud , gcloud ni mediante la API. Para volver a analizar una imagen con metadatos obsoletos o archivados, extrae esa imagen. La actualización de los metadatos puede tardar hasta 24 horas.
Ver las incidencias en la consola Google Cloud
Para ver las vulnerabilidades de una imagen, sigue estos pasos:
Ver las incidencias con gcloud
Para ver las ocurrencias de una imagen en Artifact Registry, ejecuta el siguiente comando:
gcloud artifacts docker images list --show-occurrences \
LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID
Donde:
Para ver las vulnerabilidades de una etiqueta de imagen o una capa, sigue estos pasos:
gcloud artifacts docker images describe \
LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID:TAG \
--show-package-vulnerability
o
gcloud artifacts docker images describe \
LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH \
--show-package-vulnerability
Donde:
Para filtrar las incidencias de vulnerabilidades, haz lo siguiente:
gcloud artifacts docker images list --show-occurrences \
LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID \
--occurrence-filter=FILTER_EXPRESSION
Donde:
Ver las incidencias con la API
Para obtener una lista de las ocurrencias de tu proyecto, sigue estos pasos:
curl -X GET -H "Content-Type: application/json" -H \
"Authorization: Bearer $(gcloud auth print-access-token)" \
https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences
Para obtener un resumen de las vulnerabilidades de tu proyecto, sigue estos pasos:
curl -X GET -H "Content-Type: application/json" -H \
"Authorization: Bearer $(gcloud auth print-access-token)" \
https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences:vulnerabilitySummary
Para obtener información sobre una incidencia concreta, haz lo siguiente:
curl -X GET -H "Content-Type: application/json" -H \
"Authorization: Bearer $(gcloud auth print-access-token)" \
https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences/OCCURRENCE_ID
Ver vulnerabilidades en Cloud Build
Si usas Cloud Build, también puedes ver las vulnerabilidades de las imágenes en el panel lateral Información de seguridad de la Google Cloud consola.
El panel lateral Estadísticas de seguridad ofrece una vista general de la información de seguridad de las compilaciones de los artefactos almacenados en Artifact Registry. Para obtener más información sobre el panel lateral y cómo puedes usar Cloud Build para proteger tu cadena de suministro de software, consulta Ver información valiosa sobre la seguridad de las compilaciones.
Filtrar ocurrencias
Puede usar cadenas de filtro en los comandos gcloud
y en la API Artifact Analysis para filtrar las ocurrencias antes de verlas. En las siguientes secciones se describen los filtros de búsqueda admitidos.
Ver las incidencias de un tipo específico
Puede usar el valor kind
para filtrar por tipo de ocurrencia. Consulta los tipos disponibles.
En los siguientes ejemplos se muestra cómo filtrar las ocurrencias de implementación de una imagen:
gcloud
En la CLI de gcloud, ejecuta lo siguiente:
gcloud artifacts docker images list --show-occurrences \
--occurrence-filter='kind="DEPLOYMENT"' --format=json \
LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID
Donde:
API
En tu consulta a la API, usa la siguiente expresión de filtro:
kind="DEPLOYMENT" AND resourceUrl="RESOURCE_URL"
Donde:
Puedes usar la función hasPrefix
para filtrar con un ámbito más amplio.
Por ejemplo, el siguiente filtro se aplica a las apariciones de un tipo específico en muchas imágenes:
kind="NOTE_KIND" AND has_prefix(resourceUrl, "RESOURCE_URL_PREFIX")
Donde:
Ver las ocurrencias de vulnerabilidades
Para obtener una lista de las vulnerabilidades de una imagen, puede filtrar por el tipo de ocurrencia VULNERABILITY
.
gcloud
En la CLI de gcloud, ejecuta lo siguiente:
gcloud artifacts docker images list \
--show-occurrences \
--occurrence-filter='kind="VULNERABILITY"' \
--format=json \
LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID
Donde:
API
En tu consulta a la API, usa la siguiente expresión de filtro:
GET https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences?filter=kind%3D%22VULNERABILITY%22%20AND%20resourceUrl%3D%22ENCODED_RESOURCE_URL%22
Donde:
Para obtener más información sobre cómo usar la API, consulta projects.occurrences.get
.
Filtrar por tipo de paquete
Para limitar los resultados del análisis de vulnerabilidades a un tipo de paquete, ejecuta el siguiente comando de la CLI de gcloud:
gcloud artifacts docker images list /
--show-occurrences /
--occurrence-filter='kind="VULNERABILITY" AND packageType="PACKAGE_TYPE"' /
LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID
Donde:
Ver las imágenes asociadas a una nota específica
Puedes obtener una lista de recursos asociados a un ID de nota específico. Por ejemplo, puede enumerar imágenes con una vulnerabilidad CVE específica.
Para enumerar todas las imágenes de un proyecto que estén asociadas a una nota concreta, usa la siguiente expresión de filtro:
gcloud
gcloud artifacts docker images list /
--show-occurrences /
--occurrence-filter='noteProjectId="goog-vulnz" AND noteId="NOTE_ID"' /
LOCATION-docker.pkg.dev/PROJECT_ID
Donde:
API
GET https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences?filter=noteProjectId%3D%22goog-vulnz%22%20AND%20resourceUrl%3D%22ENCODED_RESOURCE_URL%22%20AND%20noteId%3D%22NOTE_ID%22
Donde:
Para comprobar si una imagen concreta tiene una nota específica, usa la siguiente expresión de filtro:
gcloud
gcloud artifacts docker images list /
--show-occurrences /
--occurrence-filter='noteProjectId="goog-vulnz" AND noteId="NOTE_ID"' /
LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID
Dónde
API
En tu consulta a la API, añade la siguiente expresión de filtro:
resourceUrl="RESOURCE_URL" AND noteProjectId="goog-vulnz" \ AND noteId="NOTE_ID"
Donde: