本文档介绍了如何启用和停用自动扫描。
Artifact Analysis 通过 Container Scanning API 为 Artifact Registry 和 Container Registry (已废弃)中的容器映像提供自动漏洞扫描。平台管理员和应用开发者可以使用扫描结果来识别和降低其软件供应链的风险。
默认情况下,当您启用 Container Scanning API 时,Artifact Analysis 会扫描项目中的所有受支持的软件包类型。为了降低费用并减少扫描结果中的噪声,您可以停用对各个代码库的扫描。如需了解详情,请参阅控制各个代码库的扫描设置。
如需了解价格信息,请参阅价格页面。
限制
自动扫描功能具有以下限制:
- Artifact Registry 虚拟仓库不支持扫描。
- Artifact Registry 代码库必须采用 Docker 格式。
启用 Container Scanning API
您可以为现有项目启用 Container Scanning API,也可以先新建一个项目,然后再启用此 API。启用 Container Scanning API 还会启用 Container Analysis API,以便存储和检索元数据。
如需在 Artifact Registry 或 Container Registry 中为项目启用漏洞扫描,请完成以下步骤:
在 Google Cloud 控制台中,打开启用对 API 的访问权限页面:
控制单个代码库的扫描设置
本部分介绍了如何控制各个代码库的扫描设置。此功能仅在 Artifact Registry 中受支持。
默认情况下,启用 Container Scanning API 会为您推送到 Artifact Registry 中的标准和远程 Docker 仓库的所有映像启用扫描功能。使用 Artifact Analysis 进行扫描可提供有关软件供应链潜在威胁的全面信息。您还可以根据需要为个别代码库停用扫描功能。
您可以停用代码库的扫描功能,以便:
- 管理项目中的扫描费用。您无需为整个项目关闭扫描,也不需要创建新项目来隔离代码库。
- 减少您收到的漏洞发现结果数量。您可以专注于修复特定代码库中的漏洞。
如需更改现有 Artifact Registry 代码库的扫描设置,请参阅更新代码库。
如需为新的 Artifact Registry 代码库配置扫描设置,请参阅创建标准代码库或创建远程代码库。
停用 Container Scanning API
本部分介绍了如何在 Artifact Registry 或 Container Registry 中为项目停用漏洞扫描。
停用 Container Scanning API 后,项目中的所有代码库都会停止扫描。系统会保留各个代码库的扫描设置。如果您之前停用了某些代码库的扫描功能,后来又为项目重新启用了该 API,则这些代码库仍会被排除在扫描范围之外。
如需更新各个代码库的扫描设置,请参阅更新代码库。
控制台
gcloud
运行以下命令:
gcloud services disable containerscanning.googleapis.com
延长监控时间范围
Artifact Analysis 会持续监控 Artifact Registry 和 Container Registry 中已扫描映像的漏洞元数据(已废弃)。持续监控的默认时间范围为 30 天。在此期限过后,您的映像将过时,漏洞扫描结果也不再更新。
要延长监控时间范围,您必须在 30 天内拉取或推送映像。建议您创建计划任务,以重新推送不需要频繁更新的容器,例如 Istio 和代理映像。