启用或停用自动扫描

本文档介绍了如何启用和停用自动扫描。

Artifact Analysis 通过 Container Scanning API 为 Artifact Registry 中的容器映像提供自动漏洞扫描。平台管理员和应用开发者可以使用扫描结果来识别和降低软件供应链的风险。

默认情况下，启用 Container Scanning API 后，Artifact Analysis 会扫描项目中的所有受支持的软件包类型。为了降低费用并减少扫描结果中的噪声，您可以针对单个代码库停用扫描功能。如需了解详情，请参阅控制单个代码库的扫描设置。

如需了解价格信息，请参阅价格页面。

限制

自动扫描功能具有以下限制：

• Artifact Registry 虚拟代码库不支持扫描。
• Artifact Registry 代码库必须采用 Docker 格式。

启用 Container Scanning API

您可以为现有项目启用 Container Scanning API，也可以先新建一个项目，然后再启用此 API。启用 Container Scanning API 还会启用 Container Analysis API，以便存储和检索元数据。

如需在 Artifact Registry 中为您的项目启用漏洞扫描，请完成以下步骤：

在 Google Cloud 控制台中，打开启用对 API 的访问权限页面：

启用 Container Scanning API

控制单个代码库的扫描设置

本部分介绍了如何控制各个代码库的扫描设置。此功能仅在 Artifact Registry 中受支持。

默认情况下，启用 Container Scanning API 会激活对您推送到 Artifact Registry 中标准和远程 Docker 仓库的所有映像的扫描。 通过 Artifact Analysis 进行扫描，可全面了解软件供应链中潜在的威胁。您还可以根据需要停用对单个代码库的扫描。

您可以停用代码库的扫描功能，以实现以下目的：

• 管理项目中的扫描费用。您无需为整个项目停用扫描功能，也无需创建新项目来隔离代码库。
• 减少您收到的漏洞发现结果数量。您可以专注于修复特定代码库中的漏洞。

如需更改现有 Artifact Registry 代码库的扫描设置，请参阅更新代码库。

如需为新的 Artifact Registry 代码库配置扫描设置，请参阅创建标准代码库或创建远程代码库。

停用 Container Scanning API

本部分介绍如何在 Artifact Registry 中为项目停用漏洞扫描。

停用 Container Scanning API 后，系统会停止扫描项目中的所有代码库。系统会保留各个代码库的扫描设置。如果您之前在某些代码库中停用了扫描功能，后来又为项目重新启用了该 API，则这些代码库仍会被排除在扫描范围之外。

如需更新单个代码库的扫描设置，请参阅更新代码库。

gcloud services disable containerscanning.googleapis.com

延长监控时间范围

Artifact Analysis 会持续监控 Artifact Registry 中已扫描映像的漏洞元数据。持续监控的默认时间范围为 30 天。在此期限过后，您的映像将过时，并且漏洞扫描结果不再更新。

要延长监控时间范围，您必须在 30 天内拉取或推送映像。建议您创建计划任务，以重新推送不需要频繁更新的容器，例如 Istio 和代理映像。

后续步骤

• 开始使用自动扫描。
• 了解容器扫描概念。