In diesem Dokument erfahren Sie, wie Sie die automatische Suche aktivieren und deaktivieren.
Artefaktanalyse bietet über die Container Scanning API ein automatisches Scannen auf Sicherheitslücken für Container-Images sowohl in Artifact Registry als auch in Container Registry (veraltet). Plattformadministratoren und Anwendungsentwickler können die Scanergebnisse verwenden, um Risiken für ihre Softwarelieferkette zu identifizieren und zu minimieren.
Wenn Sie die Container Scanning API aktivieren, werden standardmäßig alle unterstützten Pakettypen in Ihrem Projekt von Artefaktanalyse gescannt. Um die Kosten zu senken und die Anzahl der Falschmeldungen bei den Scanergebnissen zu reduzieren, können Sie das Scannen für einzelne Repositories deaktivieren. Weitere Informationen finden Sie unter Scaneinstellungen für ein einzelnes Repository steuern.
Preisinformationen finden Sie auf der Preisseite.
Beschränkungen
Die Funktion für den automatischen Scan hat die folgenden Einschränkungen:
- Das Scannen wird in virtuellen Artifact Registry-Repositories nicht unterstützt.
- Artifact Registry-Repositories müssen im Docker-Format vorliegen.
Container Scanning API aktivieren
Sie können die Container Scanning API für ein vorhandenes Projekt aktivieren oder ein neues Projekt erstellen und anschließend die API aktivieren. Wenn Sie die Container Scanning API aktivieren, wird auch die Container Analysis API für das Speichern und Abrufen von Metadaten aktiviert.
So aktivieren Sie das Scannen auf Sicherheitslücken für Ihr Projekt in Artifact Registry oder Container Registry:
Öffnen Sie in der Google Cloud Console die Seite Zugriff auf API aktivieren:
Container Scanning API aktivieren
Scaneinstellungen für ein einzelnes Repository steuern
In diesem Abschnitt wird erläutert, wie Sie die Scaneinstellungen für einzelne Repositories steuern. Diese Funktion wird nur in Artifact Registry unterstützt.
Wenn Sie die Container Scanning API aktivieren, wird standardmäßig das Scannen aller Images aktiviert, die Sie per Push in Standard- und Remote-Docker-Repositories in Artifact Registry übertragen. Das Scannen mit Artefaktanalyse liefert umfassende Informationen zu potenziellen Bedrohungen für Ihre Softwarelieferkette. Sie können das Scannen bei Bedarf auch für einzelne Repositories deaktivieren.
Sie können das Scannen von Repositories deaktivieren, um:
- Kosten für das Scannen innerhalb eines Projekts verwalten Sie müssen das Scannen für ein gesamtes Projekt nicht deaktivieren oder ein neues Projekt erstellen, um Repositories zu isolieren.
- Reduzieren Sie die Anzahl der Sicherheitslücken, die Sie erhalten. Sie können sich darauf konzentrieren, Sicherheitslücken in bestimmten Repositories zu beheben.
Informationen zum Ändern der Scaneinstellungen für vorhandene Artifact Registry-Repositories finden Sie unter Repositories aktualisieren.
Informationen zum Konfigurieren der Scaneinstellungen für ein neues Artifact Registry-Repository finden Sie unter Standard-Repositories erstellen oder Remote-Repositories erstellen.
Container Scanning API deaktivieren
In diesem Abschnitt wird beschrieben, wie Sie das Scannen auf Sicherheitslücken für Ihr Projekt in Artifact Registry oder Container Registry deaktivieren.
Wenn Sie die Container Scanning API deaktivieren, wird das Scannen für alle Repositories in Ihrem Projekt beendet. Die Scaneinstellungen für einzelne Repositories bleiben erhalten. Wenn Sie das Scannen für einige Repositories deaktiviert und die API für Ihr Projekt später wieder aktiviert haben, werden diese Repositories weiterhin vom Scannen ausgeschlossen.
Informationen zum Aktualisieren der Scaneinstellungen für einzelne Repositories finden Sie unter Repositories aktualisieren.
Console
Öffnen Sie in der Google Cloud Console die Seite Einstellungen für den jeweiligen Registry-Dienst.
Artifact Registry:
Container Registry:
Klicken Sie im Abschnitt Scannen auf Sicherheitslücken auf Deaktivieren.
gcloud
Führen Sie dazu diesen Befehl aus:
gcloud services disable containerscanning.googleapis.com
Monitoring-Zeitfenster verlängern
Artefaktanalyse überwacht kontinuierlich die Metadaten zu Sicherheitslücken für gescannte Images in Artifact Registry und Container Registry (veraltet). Das Standardzeitfenster für die kontinuierliche Überwachung beträgt 30 Tage. Nach diesem Zeitraum sind Ihre Images veraltet und die Ergebnisse des Scannens auf Sicherheitslücken werden nicht mehr aktualisiert.
Um das Monitoring-Zeitfenster zu verlängern, müssen Sie das Image innerhalb von 30 Tagen hoch- oder herunterladen. Wir empfehlen, eine geplante Aufgabe zu erstellen, um Container, die keine häufigen Aktualisierungen erfordern, noch einmal zu übertragen, z. B. Ihre Istio- und Proxy-Images.