In diesem Dokument erfahren Sie, wie Sie die automatische Überprüfung aktivieren und deaktivieren.
Artefaktanalyse bietet automatisiertes Scannen auf Sicherheitslücken für Container-Images in Artifact Registry über die Container Scanning API. Plattformadministratoren und Anwendungsentwickler können die Scanergebnisse verwenden, um Risiken für ihre Software-Lieferkette zu identifizieren und zu minimieren.
Standardmäßig werden mit Artefaktanalyse alle unterstützten Pakettypen in Ihrem Projekt gescannt, wenn Sie die Container Scanning API aktivieren. Um Kosten zu senken und falsch positive Meldungen in Scanergebnissen zu reduzieren, können Sie das Scannen für einzelne Repositorys deaktivieren. Weitere Informationen finden Sie unter Scaneinstellungen für ein einzelnes Repository steuern.
Preisinformationen finden Sie auf der Preisseite.
Beschränkungen
Für die automatische Scanfunktion gelten die folgenden Einschränkungen:
- Das Scannen wird in virtuellen Artifact Registry-Repositories nicht unterstützt.
- Artifact Registry-Repositories müssen im Docker-Format sein.
Container Scanning API aktivieren
Sie können die Container Scanning API für ein vorhandenes Projekt aktivieren oder ein neues Projekt erstellen und dann die API aktivieren. Wenn Sie die Container Scanning API aktivieren, wird auch die Container Analysis API für das Speichern und Abrufen von Metadaten aktiviert.
So aktivieren Sie das Scannen nach Sicherheitslücken für Ihr Projekt in Artifact Registry:
Öffnen Sie in der Google Cloud Console die Seite Zugriff auf API aktivieren:
Container Scanning API aktivieren
Scaneinstellungen für ein einzelnes Repository steuern
In diesem Abschnitt wird erläutert, wie Sie die Scaneinstellungen für einzelne Repositorys steuern. Diese Funktion wird nur in Artifact Registry unterstützt.
Wenn Sie die Container Scanning API aktivieren, wird das Scannen standardmäßig für alle Images aktiviert, die Sie per Push an Standard- und Remote-Docker-Repositories in Artifact Registry übertragen. Das Scannen mit Artefaktanalyse liefert umfassende Informationen zu potenziellen Bedrohungen für Ihre Softwarelieferkette. Bei Bedarf können Sie das Scannen auch für einzelne Repositorys deaktivieren.
Sie können das Scannen von Repositories deaktivieren, um:
- Scanning-Kosten in einem Projekt verwalten Sie müssen die Suche nicht für ein ganzes Projekt deaktivieren oder ein neues Projekt erstellen, um Repositorys zu isolieren.
- Anzahl der Ergebnisse zu Sicherheitslücken reduzieren Sie können sich auf die Behebung von Sicherheitslücken in bestimmten Repositories konzentrieren.
Informationen zum Ändern der Scaneinstellungen für vorhandene Artifact Registry-Repositories finden Sie unter Repositories aktualisieren.
Informationen zum Konfigurieren von Scaneinstellungen für ein neues Artifact Registry-Repository finden Sie unter Standard-Repositories erstellen oder Remote-Repositories erstellen.
Container Scanning API deaktivieren
In diesem Abschnitt wird beschrieben, wie Sie das Scannen auf Sicherheitslücken für Ihr Projekt in Artifact Registry deaktivieren.
Wenn Sie die Container Scanning API deaktivieren, werden alle Repositorys in Ihrem Projekt nicht mehr gescannt. Die Scaneinstellungen für einzelne Repositories bleiben erhalten. Wenn Sie das Scannen für einige Repositories zuvor deaktiviert und die API später für Ihr Projekt wieder aktiviert haben, werden diese Repositories weiterhin vom Scannen ausgeschlossen.
Informationen zum Aktualisieren der Scaneinstellungen für einzelne Repositories finden Sie unter Repositories aktualisieren.
Console
Öffnen Sie die Seite Einstellungen für Artifact Registry:
Klicken Sie im Abschnitt Scannen auf Sicherheitslücken auf Deaktivieren.
gcloud
Führen Sie dazu diesen Befehl aus:
gcloud services disable containerscanning.googleapis.com
Monitoring-Zeitfenster erweitern
Artefaktanalyse überwacht kontinuierlich die Metadaten zu Sicherheitslücken für gescannte Images in Artifact Registry. Das Standardzeitfenster für die kontinuierliche Überwachung beträgt 30 Tage. Danach sind Ihre Images veraltet und die Ergebnisse des Scannens auf Sicherheitslücken werden nicht mehr aktualisiert.
Um das Monitoring-Zeitfenster zu verlängern, müssen Sie das Image innerhalb von 30 Tagen hoch- oder herunterladen. Wir empfehlen, eine geplante Aufgabe zu erstellen, um Container, die keine häufigen Aktualisierungen erfordern, noch einmal zu übertragen, z. B. Ihre Istio- und Proxy-Images.