本文將說明如何啟用及停用自動掃描功能。
透過容器掃描 API,Artifact Analysis 會針對 Artifact Registry 和 Container Registry 中的容器映像檔(已淘汰)提供自動安全漏洞掃描功能。平台管理員和應用程式開發人員可以利用掃描結果,找出並降低軟體供應鏈的風險。
根據預設,啟用 Container Scanning API 時,Artifact Analysis 會掃描專案中所有支援的套件類型。為降低成本並減少掃描發現項目的雜訊,您可以停用個別存放區的掃描作業。詳情請參閱「控管個別存放區的掃描設定」。
如需價格資訊,請參閱定價頁面。
限制
自動掃描功能有下列限制:
- Artifact Registry 虛擬存放區不支援掃描功能。
- Artifact Registry 存放區必須採用 Docker 格式。
啟用 Container Scanning API
您可以為現有專案啟用 Container Scanning API,也可以先建立新專案,然後啟用 API。啟用 Container Scanning API 後,也會啟用 Container Analysis API,以便儲存及擷取中繼資料。
如要在 Artifact Registry 或 Container Registry 中為專案啟用安全漏洞掃描功能,請完成下列步驟:
在 Google Cloud 控制台中開啟「啟用 API 存取權」頁面:
控管個別存放區的掃描設定
本節說明如何控管個別存放區的掃描設定。這項功能僅適用於 Artifact Registry。
根據預設,啟用 Container Scanning API 會啟用掃描功能,掃描您推送至 Artifact Registry 中的標準和遠端 Docker 存放區的所有映像檔。搭配使用構件分析功能進行掃描,可針對軟體供應鏈的潛在威脅提供完整資訊。您也可以視需要停用個別存放區的掃描作業。
您可以停用存放區的掃描功能,以便:
- 管理專案內的掃描費用。您不需要為整個專案關閉掃描功能,也不需要建立新專案來隔離存放區。
- 減少收到的漏洞發現項目數量。您可以專注於修復特定存放區中的安全漏洞。
如要變更現有 Artifact Registry 存放區的掃描設定,請參閱「更新存放區」一文。
如要為新的 Artifact Registry 存放區設定掃描設定,請參閱「建立標準存放區」或「建立遠端存放區」。
停用 Container Scanning API
本節說明如何在 Artifact Registry 或 Container Registry 中,為專案停用安全漏洞掃描功能。
停用 Container Scanning API 後,專案中的所有存放區都會停止掃描。個別存放區的掃描設定會保留。如果先前已為部分存放區停用掃描功能,日後再重新啟用專案的 API,這些存放區仍會從掃描作業中排除。
如要更新個別存放區的掃描設定,請參閱「更新存放區」。
控制台
開啟 Artifact Registry 的「設定」頁面:
在「Vulnerability Scanning」(安全漏洞掃描) 部分,按一下「Disable」(停用)。
gcloud
執行下列指令:
gcloud services disable containerscanning.googleapis.com
延長監控時間範圍
Artifact Analysis 會持續監控 Artifact Registry 和 Container Registry 中掃描映像檔的安全漏洞中繼資料(已淘汰)。持續監控的預設時間回溯期為 30 天。過了這個期限,您的圖片就會過時,安全漏洞掃描結果也不再更新。
如要延長監控期間,您必須在 30 天內提取或推送映像檔。建議您建立排程工作,以便重新推送不需要頻繁更新的容器,例如 Istio 和 Proxy 映像檔。