Verificação de vulnerabilidades

O Container Analysis fornece verificação de vulnerabilidades e armazenamento de metadados para contêineres. Esta página descreve a verificação de vulnerabilidades.

Verificação de vulnerabilidades

Vulnerabilidades de software são pontos fracos que podem causar uma falha acidental do sistema ou ser explorados intencionalmente.

O Container Analysis realiza verificações de vulnerabilidades em imagens no Container Registry e monitora as informações de vulnerabilidade para mantê-las atualizadas. Esse processo consiste em duas tarefas principais:

  • Verificação incremental: o Container Analysis verifica as novas imagens quando elas são enviadas para o Container Registry. A verificação coleta metadados com base no manifesto do contêiner e atualiza esses metadados toda vez que você refizer o upload da imagem.

  • Análise contínua: o Container Analysis monitora continuamente os metadados de imagens digitalizadas no Container Registry para detectar novas vulnerabilidades. Conforme o Container Analysis recebe informações de vulnerabilidade novas e atualizadas de origens de vulnerabilidade, ela analisa novamente os contêineres para manter atualizadas a lista de ocorrências de vulnerabilidade de imagens já verificadas. Ele cria novas ocorrências para novas notas e exclui ocorrências que não são mais válidas. Esse tipo de análise refere-se apenas a vulnerabilidades de pacote e não inclui outros tipos de metadados.

Quando a varredura de uma imagem é concluída, o resultado de vulnerabilidade é uma coleção das ocorrências de vulnerabilidade de uma imagem.

Origem de vulnerabilidade

A API Container Analysis é compatível com a verificação de vulnerabilidades de pacotes para distribuições Linux e recebe os dados de CVE das origens a seguir:

Níveis de gravidade de vulnerabilidades

O Container Analysis usa os níveis de gravidade a seguir:

  • Crítica
  • Alta
  • Média
  • Baixa
  • Mínima

Os níveis de gravidade são rótulos qualitativos que refletem fatores como capacidade de exploração, escopo, impacto e maturidade da vulnerabilidade. Por exemplo, se uma vulnerabilidade permitir que um usuário remoto acesse facilmente um sistema e execute um código arbitrário sem autenticação ou interação com o usuário, essa vulnerabilidade será classificada como Crítica.

Dois tipos de gravidade estão associados a cada vulnerabilidade:

  • Gravidade efetiva: o nível de gravidade atribuído pela distribuição Linux. Se os níveis de gravidade específicos da distribuição estiverem indisponíveis, o Container Analysis usará o nível de gravidade atribuído pelo provedor da nota.

  • Pontuação CVSS: a pontuação do sistema de pontuação de vulnerabilidade comum (CVSS, na sigla em inglês) e o nível de gravidade associado. Consulte a especificação CVSS 3.0 (em inglês) para saber mais sobre como as pontuações do CVSS são calculadas.

Para uma determinada vulnerabilidade, a gravidade derivada de uma pontuação do CVSS calculada pode não corresponder à gravidade efetiva. As distribuições Linux que atribuem níveis de gravidade usam seus próprios critérios para avaliar os impactos específicos de uma vulnerabilidade nas distribuições.

Conta de serviço padrão do Container Analysis

O Container Analysis analisa suas imagens de contêiner usando uma conta de serviço, uma conta especial do Google que coleta informações sobre suas imagens no seu nome. O e-mail da conta de serviço da Análise de contêiner é service-[PROJECT_NUMBER]@container-analysis.iam.gserviceaccount.com. Essa conta usa o papel Agente de serviço do Container Analysis.

Se você ativar a verificação de vulnerabilidades, a API Container Scanning usada por esse recurso também usará uma Conta do Google especial. O e-mail dessa conta de serviço é service-[PROJECT_NUMBER]@gcp-sa-containerscanning.iam.gserviceaccount.com. A conta usa o papel de Agente de serviço do Container Scanner.

É possível ver as contas de serviço do seu projeto por meio do menu "IAM" do Console do Cloud.

Interfaces do Container Analysis

No Console do Cloud, você pode ver vulnerabilidades de imagem e metadados de imagem para contêineres no Container Registry.

Você pode usar a ferramenta gcloud para visualizar vulnerabilidades e metadados de imagem.

A API REST Container Analysis também pode ser usada para executar qualquer uma dessas ações. Assim como em outras APIs do Cloud Platform, você precisa autenticar o acesso usando o OAuth2. Depois da autenticação, você pode usar a API para criar novas notas e ocorrências, ver ocorrências de vulnerabilidade etc.

A API Container Analysis é compatível com gRPC e REST/JSON. Você pode fazer chamadas à API usando as bibliotecas de cliente ou usando cURL para REST/JSON.

Como controlar a implantação de imagens vulneráveis

É possível integrar a autorização binária com a verificação de vulnerabilidades para impedir que imagens com problemas de segurança conhecidos sejam executadas no seu ambiente de implementação.

A seguir