Segurança no ambiente de execução

Nesta página, você encontra informações complementares sobre políticas de atualização de segurança para funções criadas usando comandos gcloud functions ou a API Cloud Functions v2.

Para uma descrição detalhada de como definir atualizações automáticas para imagens de base, incluindo ambientes de execução de linguagem, pacote do SO e sistema operacional, consulte o documento do Cloud Run Configurar atualizações automáticas de imagem de base.

Imagens de ambientes de execução

Cada ambiente de execução tem uma imagem associada (também conhecida como imagem de execução) em um repositório público no Artifact Registry. Para conferir uma lista de IDs de ambiente de execução e as respectivas imagens, consulte Ambientes de execução.

Identificar a imagem do ambiente de execução

É possível conferir os registros de criação de uma função para identificar a imagem de ambiente de execução usada na criação dela.

Nos registros de criação, pesquise google.run-image. Isso fornece a entrada de registro da etapa de criação que descreve a versão da imagem de ambiente de execução usada para criar a função. Por exemplo, uma entrada de registro de uma função do Node.js pode ser semelhante ao seguinte:

{
  ...
  "textPayload": "Step #2 - \"build\": Adding image label google.run-image:
    us-central1-docker.pkg.dev/serverless-runtimes/google-22-full/runtimes/nodejs22:nodejs20_20230924_20_6_1_RC00",
  ...
}

Política de atualização de segurança

Você pode escolher uma das seguintes políticas de atualização de segurança:

  • Atualizações automáticas (padrão): as atualizações e os patches de segurança do ambiente de execução são publicados em novas versões da imagem do ambiente de execução. Após um período de testes de estabilidade e confiabilidade, o ambiente de execução atualizado é lançado para todas as funções por meio de uma atualização sem inatividade. As atualizações automáticas de segurança estão disponíveis no Cloud Run functions (1a geração) e no Cloud Run functions. Para aplicar correções de segurança no nível da linguagem, pode ser necessário recriar funções que usam linguagens compiladas, como Go ou Java.

  • Atualizações na implantação: as atualizações e os patches de segurança são aplicados aos ambientes de execução somente quando as funções são implantadas ou reimplantadas, a menos que indicado de outra forma. A opção de atualizações na implantação está disponível no Cloud Run functions (1a geração) e no Cloud Run functions.

É possível alterar a política de atualização do ambiente de execução usando a flag --runtime-update-policy no comando gcloud functions deploy.

Por padrão, as atualizações automáticas de segurança são ativadas para funções que foram implantadas usando:

Definir a política de atualização da função

É possível mudar a política de atualização de uma função usando o seguinte comando:

  gcloud functions deploy FUNCTION_NAME \
    --runtime-update-policy=POLICY ...

Substitua:

  • FUNCTION_NAME pelo nome da função
  • POLICY por automatic ou on-deploy

Analisar a política de atualização de uma função

É possível inspecionar a política de atualização de uma função com o seguinte comando:

  gcloud functions describe FUNCTION_NAME \

Em que FUNCTION_NAME é o nome da função

  • As funções com atualizações automáticas de segurança ativadas terão a chave automaticUpdatePolicy.
  • As funções atualizadas na implantação terão a chave onDeployUpdatePolicy.

Verificações de segurança no Cloud Run functions

As funções do Cloud Run que têm atualizações automáticas ativadas são criadas com base em uma imagem scratch. Como resultado, o contêiner que representa a função no Artifact Registry não tem uma imagem de base e é consideravelmente menor do que as funções que usam atualizações na implantação. A imagem de base é combinada com a imagem da função no ambiente de execução para criar uma função completa. Para mais informações, consulte Criar no scratch.