En este documento, se explica cómo habilitar y deshabilitar el análisis automático.
Artifact Analysis proporciona un análisis de vulnerabilidades automatizado para las imágenes de contenedores en Artifact Registry y Container Registry (obsoleto) a través de la API de Container Scanning. Los administradores de plataformas y los desarrolladores de aplicaciones pueden usar los resultados del análisis para identificar y mitigar los riesgos de su cadena de suministro de software.
De forma predeterminada, Artifact Analysis analiza todos los tipos de paquetes compatibles en tu proyecto cuando habilitas la API de Container Scanning. Para reducir los costos y disminuir el ruido en los resultados del análisis, puedes inhabilitar el análisis en repositorios individuales. Para obtener más información, consulta Controla la configuración de análisis de un repositorio individual.
Consulta la página Precios para obtener información sobre los precios.
Limitaciones
La función de escaneo automático tiene las siguientes limitaciones:
- El escaneo no es compatible con los repositorios virtuales de Artifact Registry.
- Los repositorios de Artifact Registry deben estar en formato Docker.
Habilita la API de Container Scanning
Puedes habilitar la API de Container Scanning para un proyecto existente o crear un proyecto nuevo y, luego, habilitar la API. Si habilitas la API de Container Scanning, también se habilita la API de Container Analysis para el almacenamiento y la recuperación de metadatos.
Para habilitar el análisis de vulnerabilidades de tu proyecto en Artifact Registry o Container Registry, completa los siguientes pasos:
En la consola de Google Cloud, abre la página Habilitar el acceso a la API:
Habilita la API de Container Scanning
Controla la configuración de análisis de un repositorio individual
En esta sección, se explica cómo controlar la configuración de análisis de repositorios individuales. Esta función solo es compatible con Artifact Registry.
De forma predeterminada, habilitar la API de Container Scanning activa el análisis de todas las imágenes que envías a los repositorios de Docker estándar y remotos en Artifact Registry. El análisis con Artifact Analysis proporciona información integral sobre las posibles amenazas a tu cadena de suministro de software. También puedes inhabilitar el análisis en repositorios individuales si es necesario.
Puedes inhabilitar el análisis en los repositorios para lo siguiente:
- Administrar los costos de análisis dentro de un proyecto No es necesario que desactives el análisis de un proyecto completo ni que crees un proyecto nuevo para aislar los repositorios.
- Reduce la cantidad de resultados de vulnerabilidades que recibes. Puedes enfocarte en remediar vulnerabilidades en repositorios específicos.
Para cambiar la configuración de análisis de los repositorios de Artifact Registry existentes, consulta Actualiza los repositorios.
Para configurar la configuración de análisis de un nuevo repositorio de Artifact Registry, consulta Cómo crear repositorios estándar o Cómo crear repositorios remotos.
Inhabilita la API de Container Scanning
En esta sección, se explica cómo inhabilitar el análisis de vulnerabilidades de tu proyecto en Artifact Registry o Container Registry.
Cuando inhabilitas la API de Container Scanning, se detiene el análisis de todos los repositorios de tu proyecto. Se conserva la configuración de análisis de repositorios individuales. Si anteriormente inhabilitaste el análisis en algunos repositorios y, luego, vuelves a habilitar la API de tu proyecto, esos repositorios permanecerán excluidos del análisis.
Para actualizar la configuración de análisis de repositorios individuales, consulta Cómo actualizar repositorios.
Console
Abre la página Configuración de cualquiera de los servicios de registro en la consola de Google Cloud.
Artifact Registry:
Container Registry:
En la sección Vulnerability Scanning, haz clic en Disable.
gcloud
Ejecuta el siguiente comando:
gcloud services disable containerscanning.googleapis.com
Extiende el período de supervisión
Artifact Analysis supervisa continuamente los metadatos de vulnerabilidad de las imágenes analizadas en Artifact Registry y Container Registry (obsoleto). El período predeterminado para la supervisión continua es de 30 días. Después de este período, tus imágenes dejan de estar actualizadas y los resultados del análisis de vulnerabilidades ya no se actualizan.
Para extender el período de supervisión, debes extraer o enviar la imagen dentro del período de 30 días. Te recomendamos que crees una tarea programada para volver a enviar contenedores que no requieran actualizaciones frecuentes, por ejemplo, tus imágenes de Istio y proxy.