Analyse des failles

Container Analysis permet d'analyser les failles et de stocker des métadonnées pour les conteneurs. Cette page décrit l'analyse des failles.

Analyse des failles

Les failles logicielles sont des vulnérabilités pouvant entraîner une défaillance accidentelle du système ou être exploitées intentionnellement.

Container Analysis recherche les éventuelles failles des images de Container Registry et assure la surveillance des informations concernant ces failles afin de maintenir les images à jour. Ce processus comprend deux tâches principales :

  • Analyse incrémentielle : Container Analysis analyse les nouvelles images au fur et à mesure de leur importation dans Container Registry. L'analyse collecte les métadonnées à partir du fichier manifeste du conteneur et les met à jour chaque fois que vous importez ou transférez de nouveau l'image.

  • Analyse continue : Container Analysis surveille en permanence les métadonnées des images analysées dans Container Registry afin de détecter de nouvelles failles. Lorsque Container Analysis reçoit de nouvelles informations ou des informations actualisées sur les failles provenant de sources de failles, il réexécute l'analyse des conteneurs pour maintenir à jour la liste des occurrences de failles des images déjà analysées. Il crée de nouvelles occurrences pour les nouvelles notes et supprime les occurrences qui ne sont plus pertinentes. Ce type d'analyse ne concerne que les failles de package et n'inclut pas d'autres types de métadonnées.

Lorsque l'analyse d'une image est terminée, le résultat de faille produit est l'ensemble des occurrences de faille pour cette image.

Source de faille

L'API Container Analysis est compatible avec l'analyse des failles de package pour les distributions Linux et obtient les données CVE des sources suivantes :

Niveaux de gravité des failles

Container Analysis utilise les niveaux de gravité suivants :

  • Critique
  • Élevé
  • Moyen
  • Faible
  • Minime

Les niveaux de gravité sont des libellés qualitatifs qui reflètent des facteurs tels que l'exploitabilité, le champ d'application, l'impact et la maturité de la faille. Par exemple, si une faille permet à un utilisateur distant d'accéder facilement à un système et d'exécuter du code arbitraire sans authentification ni interaction de l'utilisateur, cette faille est classée comme critique.

Deux types de gravité sont associés à chaque faille :

  • Gravité effective : niveau de gravité attribué par la distribution Linux. Si les niveaux de gravité propres à la distribution ne sont pas disponibles, Container Analysis utilise le niveau de gravité attribué par le fournisseur de la note.

  • Score CVSS : score Common Vulnerability Scoring System et niveau de gravité associé. Pour plus de détails sur le calcul des scores CVSS, reportez-vous à la spécification CVSS 3.0.

Pour une faille donnée, la gravité dérivée d'un score CVSS calculé peut ne pas correspondre à la gravité effective. Les distributions Linux attribuant des niveaux de gravité utilisent leurs propres critères pour évaluer les impacts spécifiques d'une faille sur leurs distributions.

Compte de service Container Analysis par défaut

Container Analysis analyse vos images de conteneurs à l'aide d'un compte de service, un compte Google spécial qui collecte des informations sur vos images en votre nom. L'adresse e-mail du compte de service Container Analysis est service-[PROJECT_NUMBER]@container-analysis.iam.gserviceaccount.com. Ce compte utilise le rôle Agent de service Container Analysis.

Si vous activez l'analyse des failles, l'API Container Scanning utilisée par cette fonctionnalité utilise également un compte Google spécial. L'adresse e-mail de ce compte de service est service-[PROJECT_NUMBER]@gcp-sa-containerscanning.iam.gserviceaccount.com. Le compte utilise le rôle Agent de service Container Scanner.

Vous pouvez afficher les comptes de service de votre projet via le menu IAM de Cloud Console.

Interfaces Container Analysis

Dans Cloud Console, vous pouvez afficher les failles et les métadonnées des images pour les conteneurs dans Container Registry.

Vous pouvez utiliser l'outil gcloud pour afficher les failles et les métadonnées des images.

Vous pouvez également utiliser l'API REST Container Analysis pour effectuer l'une de ces actions. Comme pour les autres API Cloud Platform, vous devez autoriser l'accès à l'aide d'OAuth2. Une fois authentifié, vous pouvez utiliser l'API pour créer des notes et des occurrences, afficher des occurrences de failles, etc.

L'API Container Analysis est compatible avec gRPC et REST/JSON. Vous pouvez envoyer des appels à l'API à l'aide des bibliothèques clientes ou de cURL pour REST/JSON.

Contrôler le déploiement d'images contenant des failles

Vous pouvez intégrer Container Analysis à une autorisation binaire pour empêcher les images présentant des problèmes de sécurité connus de s'exécuter dans votre environnement de déploiement.

Étapes suivantes