Memindai paket Java secara otomatis

Dokumen ini menjelaskan cara mengaktifkan Container Scanning API, mengirim image ke Artifact Registry, dan melihat daftar kerentanan yang ditemukan dalam image.

Artifact Analysis menyimpan informasi kerentanan sebagai catatan. Kejadian dibuat untuk setiap instance catatan yang terkait dengan gambar. Lihat dokumen ringkasan dan harga untuk mengetahui informasi selengkapnya.

Sebelum memulai

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Artifact Registry and Container Scanning APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.
  6. To initialize the gcloud CLI, run the following command:

    gcloud init
  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Artifact Registry and Container Scanning APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.
  11. To initialize the gcloud CLI, run the following command:

    gcloud init
  12. Buat repositori Docker di Artifact Registry dan kirim image container dengan kode Java Anda ke repositori. Jika Anda belum terbiasa dengan Artifact Registry, lihat panduan memulai Docker.

    Untuk informasi tentang cara menggunakan Cloud Build untuk mem-build dan membuat container aplikasi Java, lihat Membangun, menguji, dan membuat container aplikasi Java.

Melihat kerentanan image

Artifact Analysis akan memindai image baru saat diupload ke Artifact Registry. Pemindaian ini mengekstrak informasi tentang paket dalam penampung.

Anda dapat melihat kemunculan kerentanan untuk image di Artifact Registry menggunakan Konsol Google Cloud, Google Cloud CLI, atau Container Analysis API. Jika gambar memiliki kerentanan, Anda dapat memperoleh detailnya.

Analisis Artefak hanya memperbarui metadata untuk image yang di-push atau di-pull dalam 30 hari terakhir. Setelah 30 hari, metadata tidak akan lagi diperbarui, dan hasilnya akan menjadi usang. Selain itu, Analisis Artefak mengarsipkan metadata yang sudah tidak berlaku selama lebih dari 90 hari, dan metadata tersebut tidak akan tersedia di konsol Google Cloud, gcloud, atau dengan menggunakan API. Untuk memindai ulang gambar dengan metadata yang sudah tidak berlaku atau diarsipkan, tarik gambar tersebut. Memuat ulang metadata dapat memerlukan waktu hingga 24 jam.

Melihat kemunculan di konsol Google Cloud

Untuk melihat kerentanan dalam image:

  1. Mendapatkan daftar repositori.

    Buka halaman Repositori

  2. Di daftar repositori, klik repositori.

  3. Di daftar gambar, klik nama gambar.

    Jumlah total kerentanan untuk setiap ringkasan gambar ditampilkan di kolom Vulnerabilities.

    Screenshot gambar dengan kerentanan

  4. Untuk melihat daftar kerentanan image, klik link di kolom Vulnerabilities.

    Bagian Hasil pemindaian menampilkan ringkasan jenis paket yang dipindai, total kerentanan, kerentanan dengan perbaikan yang tersedia, kerentanan tanpa perbaikan, dan tingkat keparahan yang efektif.

    Screenshot bagian Hasil Pemindaian dengan kerentanan, perbaikan, dan tingkat keparahan yang efektif

    Tabel kerentanan mencantumkan nama Common Vulnerabilities and Exposures (CVE) untuk setiap kerentanan yang ditemukan, keparahan efektif, skor Common Vulnerability Scoring System (CVSS), perbaikan (jika tersedia), nama paket yang berisi kerentanan, dan jenis paket.

    Anda dapat memfilter dan mengurutkan file ini untuk memeriksa file, direktori, atau jenis file tertentu menurut ekstensi file.

    Konsol Google Cloud menampilkan hingga 1.200 kerentanan dalam tabel ini. Jika image Anda memiliki lebih dari 1.200 kerentanan, Anda harus menggunakan gcloud atau API untuk melihat daftar lengkapnya.

  5. Untuk mengetahui detail tentang CVE tertentu, klik nama CVE.

  6. Untuk melihat detail kemunculan kerentanan seperti nomor versi dan lokasi yang terpengaruh, klik Lihat atau Lihat Perbaikan di baris dengan nama kerentanan. Teks link adalah Lihat untuk kerentanan tanpa perbaikan, dan Lihat Perbaikan untuk kerentanan yang telah diperbaiki.

Melihat kemunculan menggunakan gcloud

Untuk melihat kemunculan image di Artifact Registry, jalankan perintah berikut:

  gcloud artifacts docker images list --show-occurrences \
      LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID

Dengan keterangan:

  • LOCATION adalah lokasi repositori regional atau multi-regional.
  • PROJECT_ID adalah project ID Konsol Google Cloud Anda.
  • REPOSITORY adalah nama repositori tempat gambar disimpan.
  • IMAGE_ID adalah nama image di repositori. Anda tidak dapat menentukan tag gambar dengan perintah ini.

    Secara default, perintah ini menampilkan 10 image terbaru. Untuk menampilkan jumlah gambar yang berbeda, gunakan flag --show-occurrences-from. Misalnya, perintah berikut menampilkan 25 gambar terbaru.

    gcloud artifacts docker images list --show-occurrences-from=25 \
        us-central1-docker.pkg.dev/my-project/my-repo/my-image
    

Untuk melihat kerentanan tag gambar atau lapisan:

  gcloud artifacts docker images describe \
      LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID:TAG \
      --show-package-vulnerability

atau

  gcloud artifacts docker images describe \
      LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH \
      --show-package-vulnerability

Dengan keterangan:

  • LOCATION adalah lokasi repositori regional atau multi-regional.
  • PROJECT_ID adalah project ID Konsol Google Cloud Anda.
  • REPOSITORY adalah nama repositori tempat gambar disimpan.
  • IMAGE_ID adalah nama image di repositori.
  • TAG adalah tag gambar yang informasinya ingin Anda dapatkan.
  • HASH adalah ringkasan image.

    Artifact Analysis menampilkan hasil yang menyertakan packageType.

Untuk memfilter kemunculan kerentanan:

  gcloud artifacts docker images list --show-occurrences \
      LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID \
      --occurrence-filter=FILTER_EXPRESSION

Dengan keterangan:

  • LOCATION adalah lokasi repositori regional atau multi-regional.
  • PROJECT_ID adalah project ID Konsol Google Cloud Anda.
  • REPOSITORY adalah nama repositori tempat gambar disimpan.
  • IMAGE_ID adalah nama image di repositori.
  • FILTER_EXPRESSION adalah contoh ekspresi filter dalam format yang dijelaskan dalam Memfilter kemunculan kerentanan.

Melihat kemunculan menggunakan API

Untuk mendapatkan daftar kemunculan dalam project Anda:

 curl -X GET -H "Content-Type: application/json" -H \
    "Authorization: Bearer $(gcloud auth print-access-token)" \
    https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences

Untuk mendapatkan ringkasan kerentanan dalam project Anda:

 curl -X GET -H "Content-Type: application/json" -H \
    "Authorization: Bearer $(gcloud auth print-access-token)" \
    https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences:vulnerabilitySummary

Untuk mendapatkan detail tentang kemunculan tertentu:

 curl -X GET -H "Content-Type: application/json" -H \
    "Authorization: Bearer $(gcloud auth print-access-token)" \
    https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences/OCCURRENCE_ID

Melihat kerentanan di Cloud Build

Jika menggunakan Cloud Build, Anda juga dapat melihat kerentanan image di panel samping Security insights dalam konsol Google Cloud.

Panel samping Insight keamanan memberikan ringkasan tingkat tinggi tentang informasi keamanan build untuk artefak yang disimpan di Artifact Registry. Untuk mempelajari panel samping lebih lanjut dan cara menggunakan Cloud Build untuk membantu melindungi supply chain software Anda, lihat Melihat insight keamanan build.

Memfilter kemunculan

Anda dapat menggunakan string filter dalam perintah gcloud dan Artifact Analysis API untuk memfilter kemunculan sebelum melihatnya. Bagian berikut menjelaskan filter penelusuran yang didukung.

Melihat kemunculan jenis tertentu

Anda dapat menggunakan nilai kind untuk memfilter menurut jenis kemunculan. Lihat jenis yang tersedia.

Contoh berikut menunjukkan cara memfilter ke kemunculan deployment untuk image:

gcloud

Di gcloud CLI, jalankan perintah berikut:

gcloud artifacts docker images list --show-occurrences \
    --occurrence-filter='kind="DEPLOYMENT"' --format=json \
    LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID

Dengan keterangan:

  • DEPLOYMENT adalah jenis kemunculan.
  • LOCATION adalah lokasi repositori regional atau multi-regional.
  • PROJECT_ID adalah project ID Konsol Google Cloud Anda.
  • REPOSITORY adalah nama repositori tempat image disimpan.
  • IMAGE_ID adalah nama image di repositori.

API

Dalam kueri API, gunakan ekspresi filter berikut:

kind="DEPLOYMENT" AND resourceUrl="RESOURCE_URL"

Dengan keterangan:

  • DEPLOYMENT adalah jenis kemunculan.
  • RESOURCE_URL adalah URL lengkap gambar dalam format https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH.

Anda dapat menggunakan fungsi hasPrefix untuk memfilter dengan cakupan yang lebih luas.

Misalnya, filter berikut untuk kemunculan jenis tertentu di banyak gambar:

kind="NOTE_KIND" AND has_prefix(resourceUrl, "RESOURCE_URL_PREFIX")

Dengan keterangan:

  • RESOURCE_URL_PREFIX menentukan substring dari URL resource.
    • Untuk memfilter semua versi gambar, hapus ringkasan gambar. Gunakan format: https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@
    • Untuk memfilter semua image dalam project, cukup tentukan lokasi resource dan project. Gunakan format: https://LOCATION-docker.pkg.dev/PROJECT_ID/

Melihat kemunculan kerentanan

Untuk mengambil daftar kemunculan kerentanan untuk gambar, Anda dapat memfilter berdasarkan jenis kemunculan VULNERABILITY.

gcloud

Di gcloud CLI, jalankan perintah berikut:

gcloud artifacts docker images list \
    --show-occurrences \
    --occurrence-filter='kind="VULNERABILITY"' \
    --format=json \
    LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID

Dengan keterangan:

  • VULNERABILITY adalah jenis kemunculan.
  • LOCATION adalah lokasi repositori regional atau multi-regional.
  • PROJECT_ID adalah project ID Konsol Google Cloud Anda.
  • REPOSITORY adalah nama repositori tempat image disimpan.
  • IMAGE_ID adalah nama image di repositori.

API

Dalam kueri API, gunakan ekspresi filter berikut:

GET https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences?filter=kind%3D%22VULNERABILITY%22%20AND%20resourceUrl%3D%22ENCODED_RESOURCE_URL%22

Dengan keterangan:

  • ENCODED_RESOURCE_URL adalah jalur yang dienkode ke gambar Anda. Untuk mempelajari encoding, lihat Encoding URL.

Untuk informasi selengkapnya tentang penggunaan API, lihat projects.occurrences.get.

Memfilter menurut jenis paket

Untuk membatasi hasil pemindaian kerentanan ke satu jenis paket, jalankan perintah gcloud CLI berikut:

  gcloud artifacts docker images list /
      --show-occurrences /
      --occurrence-filter='kind="VULNERABILITY" AND packageType="PACKAGE_TYPE"' /
      LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID

Dengan keterangan:

  • VULNERABILITY adalah jenis kemunculan.
  • PACKAGE_TYPE adalah jenis paket bahasa aplikasi. Jenis yang tersedia adalah: COMPOSER, GO, MAVEN, NPM, NUGET, PYTHON, RUBYGEMS, dan RUST.
  • LOCATION adalah lokasi repositori regional atau multi-regional.
  • PROJECT_ID adalah project ID Konsol Google Cloud Anda.
  • REPOSITORY adalah nama repositori tempat gambar disimpan.
  • IMAGE_ID adalah nama image di repositori. Anda tidak dapat menentukan tag gambar dengan perintah ini.

Melihat gambar yang terkait dengan catatan tertentu

Anda dapat mengambil daftar resource yang terkait dengan ID catatan tertentu. Misalnya, Anda dapat mencantumkan image dengan kerentanan CVE tertentu.

Untuk mencantumkan semua gambar dalam project yang terkait dengan catatan tertentu, gunakan ekspresi filter berikut:

gcloud

gcloud artifacts docker images list /
    --show-occurrences /
    --occurrence-filter='noteProjectId="goog-vulnz" AND noteId="NOTE_ID"' /
    LOCATION-docker.pkg.dev/PROJECT_ID

Dengan keterangan:

  • goog-vulnz adalah PROVIDER_PROJECT_ID untuk analisis kerentanan Artifact Analysis. Jika menggunakan Analisis Artefak dalam project kustom, Anda dapat mengganti nilai ini dengan project ID penyedia Anda sendiri.
  • LOCATION adalah lokasi repositori regional atau multi-regional.
  • PROJECT_ID adalah project ID Konsol Google Cloud Anda.
  • NOTE_ID adalah ID catatan. Misalnya, saat Anda melihat kerentanan dalam hasil pemindaian Artifact Analysis, kerentanan tersebut sering kali menggunakan pemformatan ID CVE yang mirip dengan CVE-2019-12345.

API

GET https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences?filter=noteProjectId%3D%22goog-vulnz%22%20AND%20resourceUrl%3D%22ENCODED_RESOURCE_URL%22%20AND%20noteId%3D%22NOTE_ID%22

Dengan keterangan:

  • goog-vulnz adalah PROVIDER_PROJECT_ID untuk analisis kerentanan Artifact Analysis. Jika menggunakan Analisis Artefak dalam project kustom, Anda dapat mengganti nilai ini dengan project ID penyedia Anda sendiri.
  • ENCODED_RESOURCE_URL adalah jalur yang dienkode ke gambar Anda. Untuk mempelajari encoding, lihat Encoding URL.
  • NOTE_ID adalah ID catatan. Misalnya, saat Anda melihat kerentanan dalam hasil pemindaian Artifact Analysis, kerentanan tersebut sering kali menggunakan pemformatan ID CVE yang mirip dengan CVE-2019-12345.

Untuk memeriksa gambar tertentu untuk catatan tertentu, gunakan ekspresi filter berikut:

gcloud

gcloud artifacts docker images list /
    --show-occurrences /
    --occurrence-filter='noteProjectId="goog-vulnz" AND noteId="NOTE_ID"' /
    LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID

Dari mana

  • LOCATION adalah lokasi repositori regional atau multi-regional.
  • PROJECT_ID adalah project ID Konsol Google Cloud Anda.
  • REPOSITORY adalah nama repositori tempat image disimpan.
  • IMAGE_ID adalah nama image di repositori. Anda tidak dapat menentukan tag gambar dengan perintah ini.

API

Dalam kueri API, tambahkan ekspresi filter berikut:

resourceUrl="RESOURCE_URL" AND noteProjectId="goog-vulnz" \
AND noteId="NOTE_ID"

Dengan keterangan:

  • RESOURCE_URL adalah URL lengkap gambar dalam format https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH.
  • goog-vulnz adalah PROVIDER_PROJECT_ID untuk analisis kerentanan Artifact Analysis. Jika menggunakan Analisis Artefak dalam project kustom, Anda dapat mengganti nilai ini dengan project ID penyedia Anda sendiri.
  • NOTE_ID adalah ID catatan. Catatan terkait keamanan sering kali diformat sebagai CVE-2019-12345.

Langkah selanjutnya