Para simplificar as pesquisas e melhorar sua experiência com a documentação, estamos dividindo a documentação da 1ª e 2ª geração em conjuntos separados.

Segurança do ambiente de execução

Cada função é executada em uma imagem de ambiente de execução com controle de versões no ambiente de execução seguro do Cloud Functions. As imagens do ambiente de execução contêm bibliotecas do sistema operacional, ambientes de execução da linguagem e outros pacotes do sistema. O Google mantém todas as imagens do ambiente de execução do Cloud Functions, lançando patches de segurança e atualizações de manutenção após um período de testes de estabilidade.

Imagens do ambiente de execução

Cada ambiente de execução tem uma imagem associada (também conhecida como imagem de execução) em um repositório público em gcr.io. Para ver uma lista de IDs de ambiente de execução e as respectivas imagens, consulte Ambientes de execução.

Identificar a imagem do ambiente de execução

É possível identificar a imagem de ambiente de execução usada para criar a função inspecionando os registros de criação da função.

Nos registros de criação, pesquise google.run-image. Isso fornece a entrada de registro da etapa de criação que descreve a versão da imagem do ambiente de execução usada para criar a função. Por exemplo, uma entrada de registro de uma função do Nodejs pode ser assim:

{
  ...
  "textPayload": "Step #2 - \"build\": Adding image label google.run-image:
    us.gcr.io/gae-runtimes/buildpacks/nodejs20/run:nodejs20_20230924_20_6_1_RC00",
  ...
}

Política de atualização de segurança

O Cloud Functions oferece duas políticas de atualização de segurança:

Atualizações automáticas: as atualizações e os patches de segurança no ambiente de execução são publicados em novas versões da imagem do ambiente de execução. Após um período de testes de estabilidade e confiabilidade, o ambiente de execução atualizado é lançado para todas as funções, resultando em uma atualização sem inatividade. As atualizações de segurança automáticas estão disponíveis apenas no Cloud Functions (1ª geração).
Atualizações na implantação: as atualizações e os patches de segurança são aplicados aos ambientes de execução somente quando as funções são implantadas ou reimplantadas, a menos que indicado de outra forma. As atualizações na implantação estão disponíveis no Cloud Functions (1ª geração) e no Cloud Functions (2ª geração).

Definir a política de atualização da função

Ao usar o Cloud Functions (1ª geração), é possível alterar a política de atualização da função inserindo a flag --runtime-update-policy no comando gcloud deploy, conforme mostrado aqui:

  gcloud functions deploy FUNCTION_NAME \
    --runtime-update-policy=POLICY ...

Substitua:

FUNCTION_NAME pelo nome da função
POLICY por automatic ou on-deploy

Inspecionar a política de atualização da função

É possível inspecionar a política de atualização da função com o seguinte comando:

  gcloud functions describe FUNCTION_NAME \

Em que FUNCTION_NAME é o nome da função

As funções com atualizações de segurança automáticas ativadas terão a chave automaticUpdatePolicy
As funções atualizadas na implantação terão a chave onDeployUpdatePolicy

Identificar a imagem do ambiente de execução usada após uma atualização automática

Quando você ativa as atualizações automáticas, o Cloud Functions troca a imagem do ambiente de execução da função por uma revisão mais recente que contém outros patches e atualizações de segurança. Essa alteração aparece nos registros do ambiente de execução da função.

Nos registros do ambiente de execução, o rótulo runtime_version informa quando uma nova imagem de ambiente de execução está em uso na função. Uma entrada de registro para uma função do Nodejs que foi atualizada automaticamente pode ser assim:

{
  ...
  "labels:" {
    runtime_version: nodejs20_20230924_20_6_1_RC00
    execution_id: ...
  }
  ...
}