Neste documento, explicamos como ativar e desativar a verificação automática.
O Artifact Analysis oferece verificação automatizada de vulnerabilidades para imagens de contêiner no Artifact Registry usando a API Container Scanning. Os administradores da plataforma e os desenvolvedores de aplicativos podem usar os resultados da verificação para identificar e reduzir os riscos na cadeia de suprimentos de software.
Por padrão, Artifact Analysis verifica todos os tipos de pacotes compatíveis no seu projeto quando você ativa a API Container Scanning. Para reduzir custos e o ruído nos resultados da verificação, é possível desativar a verificação em repositórios individuais. Para mais informações, consulte Controlar as configurações de verificação de um repositório individual.
Consulte a página de preços para mais informações.
Limitações
O recurso de verificação automática tem as seguintes limitações:
- A verificação não é compatível com repositórios virtuais do Artifact Registry.
- Os repositórios do Artifact Registry precisam estar no formato Docker.
Ativar a API Container Scanning
É possível ativar a API Container Scanning em um projeto ou criar um novo e ativá-la em seguida. Ao ativar a API Container Scanning, você também ativa a API Container Analysis para armazenamento e recuperação de metadados.
Para ativar a verificação de vulnerabilidades no seu projeto no Artifact Registry, siga estas etapas:
No console do Google Cloud , abra a página Ativar acesso à API:
Ativar a API Container Scanning
Controlar as configurações de verificação de um repositório específico
Nesta seção, explicamos como controlar as configurações de verificação de repositórios individuais. Esse recurso só é compatível com o Artifact Registry.
Por padrão, ativar a API Container Scanning ativa a verificação de todas as imagens enviadas para repositórios padrão e remotos do Docker no Artifact Registry. A verificação com o Artifact Analysis fornece informações abrangentes sobre possíveis ameaças à sua cadeia de suprimentos de software. Também é possível desativar a verificação em repositórios individuais, se necessário.
É possível desativar a verificação em repositórios para:
- Gerencie os custos de verificação em um projeto. Não é necessário desativar a verificação de um projeto inteiro nem criar um novo projeto para isolar repositórios.
- Reduza o número de descobertas de vulnerabilidade recebidas. Você pode se concentrar em corrigir vulnerabilidades em repositórios específicos.
Para mudar as configurações de verificação dos repositórios do Artifact Registry, consulte Atualizar repositórios.
Para configurar as configurações de verificação de um novo repositório do Artifact Registry, consulte Criar repositórios padrão ou Criar repositórios remotos.
Desativar a API Container Scanning
Nesta seção, explicamos como desativar a verificação de vulnerabilidades do seu projeto no Artifact Registry.
Quando você desativa a API Container Scanning, a verificação é interrompida para todos os repositórios no seu projeto. As configurações de verificação de repositórios individuais são preservadas. Se você desativou a verificação em alguns repositórios e depois reativou a API para seu projeto, esses repositórios vão continuar excluídos da verificação.
Para atualizar as configurações de verificação de repositórios individuais, consulte Atualizar repositórios.
Console
Abra a página Configurações do Artifact Registry:
Na seção Verificação de vulnerabilidades, clique em Desativar.
gcloud
Execute este comando:
gcloud services disable containerscanning.googleapis.com
Estender a janela de tempo de monitoramento
O Artifact Analysis monitora continuamente os metadados de vulnerabilidade de imagens verificadas no Artifact Registry. A janela de tempo padrão para monitoramento contínuo é de 30 dias. Após esse período, as imagens ficam desatualizadas e os resultados da verificação de vulnerabilidades não são mais atualizados.
Para estender a janela de monitoramento, você precisa extrair ou enviar a imagem dentro do período de 30 dias. Recomendamos a criação de uma tarefa programada para reenviar contêineres que não exigem atualização frequente, por exemplo, suas imagens do Istio e do proxy.