Questo documento spiega come attivare e disattivare la scansione automatica.
L'Artifact Analysis fornisce l'analisi automatica delle vulnerabilità per le immagini container sia in Artifact Registry che in Container Registry (disponibile solo per i clienti con licenza precedente) tramite l'API Container Scanning. Gli amministratori della piattaforma e gli sviluppatori di applicazioni possono utilizzare i risultati della scansione per identificare e mitigare i rischi per la loro catena di approvvigionamento del software.
Per impostazione predefinita, Artifact Analysis analizza tutti i tipi di pacchetti supportati nel progetto quando attivi l'API Container Scanning. Per ridurre i costi e ridurre il rumore nei risultati dell'analisi, puoi disattivare l'analisi nei singoli repository. Per ulteriori informazioni, consulta Controllare le impostazioni di scansione per un singolo repository.
Per informazioni sui prezzi, consulta la pagina dei prezzi.
Limitazioni
La funzionalità di scansione automatica presenta le seguenti limitazioni:
- La scansione non è supportata nei repository virtuali di Artifact Registry.
- I repository Artifact Registry devono essere in formato Docker.
Abilita l'API Container Scanning
Puoi attivare l'API Container Scanning per un progetto esistente o creare un nuovo progetto e poi attivare l'API. L'abilitazione dell'API Container Scanning consente anche di attivare l'API Container Analysis per lo stoccaggio e il recupero dei metadati.
Per attivare l'analisi delle vulnerabilità per il tuo progetto in Artifact Registry o Container Registry, completa i seguenti passaggi:
Nella console Google Cloud, apri la pagina Abilita l'accesso all'API:
Abilita l'API Container Scanning
Controllare le impostazioni di scansione per un singolo repository
Questa sezione spiega come controllare le impostazioni di scansione per i singoli repository. Questa funzionalità è supportata solo in Artifact Registry.
Per impostazione predefinita, l'attivazione dell'API Container Scanning attiva la scansione di tutte le immagini trasferite nei repository Docker standard e remoti in Artifact Registry. La scansione con l'Artifact Analysis fornisce informazioni complete sulle potenziali minacce alla catena di approvvigionamento del software. Se necessario, puoi anche disattivare la scansione su singoli repository.
Puoi disattivare la scansione nei repository per:
- Gestisci i costi di scansione all'interno di un progetto. Non è necessario disattivare la ricerca di un intero progetto o creare un nuovo progetto per isolare i repository.
- Riduci il numero di risultati relativi alle vulnerabilità che ricevi. Puoi concentrarti sulla correzione delle vulnerabilità in repository specifici.
Per modificare le impostazioni di scansione per i repository di Artifact Registry esistenti, consulta Aggiornare i repository.
Per configurare le impostazioni di scansione per un nuovo repository Artifact Registry, consulta Creare repository standard o Creare repository remoti.
Disattivare l'API Container Scanning
Questa sezione spiega come disattivare l'analisi delle vulnerabilità per il tuo progetto in Artifact Registry o Container Registry.
Quando disattivi l'API Container Scanning, l'analisi viene interrotta per tutti i repository nel tuo progetto. Le impostazioni di scansione per i singoli repository vengono conservate. Se in precedenza hai disattivato la scansione su alcuni repository e in seguito hai riattivato l'API per il tuo progetto, questi repository rimarranno esclusi dalla scansione.
Per aggiornare le impostazioni di scansione per i singoli repository, consulta Aggiornare i repository.
Console
Apri la pagina Impostazioni per uno dei servizi di registry nella console Google Cloud.
Artifact Registry:
Container Registry:
Nella sezione Scansione delle vulnerabilità, fai clic su Disattiva.
gcloud
Esegui questo comando:
gcloud services disable containerscanning.googleapis.com
Estendere la finestra temporale del monitoraggio
L'Artifact Analysis monitora continuamente i metadati delle vulnerabilità per le immagini sottoposte a scansione in Artifact Registry e Container Registry (non più supportata). La finestra temporale predefinita per il monitoraggio continuo è di 30 giorni. Al termine di questo periodo, le immagini non sono più aggiornate e i risultati dell'analisi delle vulnerabilità non vengono più aggiornati.
Per estendere la finestra di monitoraggio, devi eseguire il pull o il push dell'immagine entro il periodo di 30 giorni. Ti consigliamo di creare un'attività pianificata per eseguire nuovamente il push dei container che non richiedono aggiornamenti frequenti, ad esempio le immagini Istio e proxy.