Sicherheitslücken mit Gemini untersuchen

In diesem Dokument wird beschrieben, wie Sie Gemini Cloud Assist verwenden können, um Informationen zum Status Ihrer Artefakte, zu Repositorys und zu Artefaktmetadaten zu erhalten. Außerdem wird erläutert, wie Sie Informationen aus der Artefaktanalyse verwenden können, um Fragen zu Artefaktsicherheitslücken und zu Ihren Software-Stücklisten (Software Bill of Materials, SBOMs) zu beantworten.

Hinweise

  1. Achten Sie darauf, dass Sie Gemini Cloud Assist in Ihrem Google Cloud -Projekt eingerichtet haben.
  2. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  3. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  4. Make sure that billing is enabled for your Google Cloud project.

  5. Enable the Artifact Registry and Container Scanning APIs.

    Enable the APIs

  6. Install the Google Cloud CLI.

  7. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  8. To initialize the gcloud CLI, run the following command: 

    gcloud init

  9. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  10. Make sure that billing is enabled for your Google Cloud project.

  11. Enable the Artifact Registry and Container Scanning APIs.

    Enable the APIs

  12. Install the Google Cloud CLI.

  13. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  14. To initialize the gcloud CLI, run the following command: 

    gcloud init

    15. Erforderliche Rollen

    Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie benötigen, um Gemini Cloud Assist nach Informationen zu Ihren Artefakten zu fragen:

    Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

    Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

    Gemini Cloud Assist öffnen

    Sie können den Gemini Cloud Assist-Chat von überall in derGoogle Cloud -Konsole aus öffnen.

    1. Wählen Sie in der Google Cloud Console ein Projekt aus, in dem Sie Container-Images in Artifact Registry gespeichert haben.

      Zur Projektauswahl

    2. Klicken Sie auf spark Gemini-KI-Chat öffnen oder schließen, um den Bereich Cloud Assist zu öffnen.
    3. Geben Sie einen Prompt ein und klicken Sie auf Senden Senden.

    Überlegungen zu Prompts

    Im Folgenden finden Sie eine Liste mit spezifischen Überlegungen zu Artefaktanalyse, die Sie beim Generieren von Gemini Cloud Assist-Prompts beachten sollten. Weitere Informationen zum Schreiben von Prompts finden Sie unter Bessere Prompts für Gemini für Google Cloud schreiben.

    • Alle Prompts werden standardmäßig auf das ausgewählte Projekt angewendet. Sie können Ihren Prompt jedoch so ausrichten, dass er nach Standort, Repository oder Bild gefiltert wird.
    • Bei jeder Abfrage, die auf einem Container-Image-Namen basiert, wird der Container-Image-Name als Präfix behandelt. So können Sie innerhalb eines Projekts, Repositorys oder bestimmten Bildes (über verschiedene SHAs hinweg) filtern, aber nicht nach Tag.
    • Wenn Sie spezifischere Ergebnisse erhalten möchten, geben Sie einen Bereich an. Wenn Sie beispielsweise Ergebnisse für ein bestimmtes Bild erhalten möchten, geben Sie den Bildnamen im Bereich an. Sie können filtern, indem Sie dem Namen des Container-Images Details zu Projekt, Repository, Image oder Image@Digest hinzufügen.
    • Für Artefaktanalyse-Prompts sind keine Regionsqualifizierer erforderlich, da Artefaktanalyse kombinierte Ergebnisse aus allen Regionen liefert. Sie können einen Regionsqualifizierer angeben, um die Ergebnisse zu filtern.

    Meine wichtigsten bekannten Sicherheitslücken auflisten

    Sie können Gemini Cloud Assist auffordern, die wichtigsten bekannten Sicherheitslücken in Ihrem aktuellen Projekt aufzulisten. Sicherheitslücken werden nach ihrem CVSS-Wert (Common Vulnerability Scoring System) in absteigender Reihenfolge sortiert und nach ihrer Sicherheitslücken-ID gruppiert. Es werden nur die 10 wichtigsten Sicherheitslücken angezeigt. Die Ergebnisse umfassen Sicherheitslücken aus allen Images, die in den letzten 30 Tagen gescannt wurden.

    Sie können die Antwort nach dem Namen des Container-Images filtern.

    Geben Sie im Gemini Cloud Assist-Chat den folgenden Prompt ein, um die wichtigsten bekannten Sicherheitslücken aufzulisten:

    List artifact vulnerabilities for `CONTAINER_IMAGE_NAME`.

    Ersetzen Sie CONTAINER_IMAGE_NAME durch den Namen des Container-Image, der Ihr Repository enthält, z. B. us-central1-docker.pkg.dev/my-project/my-repository.

    Wenn Sie mehr Details in den Namen des Container-Images aufnehmen, erhalten Sie eine genauere Antwort. Beispiel: LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE würde Details zu Sicherheitslücken für ein bestimmtes Image liefern.

    Im folgenden Prompt wird Gemini Cloud Assist aufgefordert, die wichtigsten bekannten Sicherheitslücken für das Repository us-central1-docker.pkg.dev/my-project/my-repository aufzulisten:

    List artifact vulnerabilities for
`us-central1-docker.pkg.dev/my-project/my-repository`.

    Die Antwort enthält eine Liste mit bis zu 10 Schwachstellen, die für das angegebene Repository nach CVSS-Score in absteigender Reihenfolge sortiert sind.

    Verwenden Sie den gcloud CLI-Befehl artifacts vulnerabilities list, um alle Ihre Sicherheitslücken aufzurufen. Sie können den nicht qualifizierten Image-Namen oder einen SHA-Wert (Secure Hash Algorithm) angeben, um Sicherheitslücken aufzurufen.

    Images nach Sicherheitslücke auflisten

    Sie können Gemini Cloud Assist auffordern, alle Ihre Bilder anzuzeigen, die eine bestimmte Sicherheitslücke enthalten. Die Antwort wird in absteigender Reihenfolge nach dem letzten Erstellungsdatum sortiert und enthält Bilder, die in den letzten 30 Tagen gescannt wurden. In diesem Prompt werden maximal 10 Bilder angezeigt. Es werden nur Bilder berücksichtigt, die von der Artefaktanalyse gescannt wurden.

    Sie können die Antwort nach folgenden Kriterien filtern:

    • Sicherheitslücken-ID
    • Container-Image-Name

    Wenn Sie Ihre Images mit einer bestimmten Sicherheitslücke auflisten möchten, geben Sie im Chat von Cloud Assist den folgenden Prompt ein:

    List docker container images that contain vulnerability
`VULNERABILITY_ID`.

    Ersetzen Sie VULNERABILITY_ID durch die ID der Sicherheitslücke, die Sie suchen möchten, z. B. CVE-2024-01234.

    Im folgenden Prompt wird Gemini Cloud Assist aufgefordert, Bilder mit der Sicherheitslücke CVE-2024-01234 aufzulisten:

    List artifact vulnerabilities for `CVE-2024-01234`.

    Die Antwort enthält eine Liste mit bis zu 10 Bildern, die die angegebene Sicherheitslücke enthalten. Die Bilder sind nach ihrem CVSS-Wert in absteigender Reihenfolge für das angegebene Repository sortiert.

    Bilder nach Paket auflisten

    Sie können Gemini Cloud Assist auffordern, eine Liste von Images zurückzugeben, die ein bestimmtes Paket enthalten. Die Bilder sind in absteigender Reihenfolge nach dem Erstellungsdatum sortiert und umfassen Bilder, die in den letzten 30 Tagen gescannt wurden. Bei diesem Prompt werden maximal 10 Bilder angezeigt. Es werden nur Bilder berücksichtigt, die von der Artefaktanalyse gescannt wurden.

    Sie können die Antwort nach dem Namen des Container-Images filtern.

    Wenn Sie Ihre Images auflisten möchten, die ein bestimmtes Paket enthalten, geben Sie im Chat von Cloud Assist den folgenden Prompt ein:

    List docker container images that contain package
`PACKAGE_ID`.

    Ersetzen Sie PACKAGE_ID durch die ID des Pakets, das Sie suchen möchten.

    Im folgenden Prompt wird Gemini Cloud Assist beispielsweise aufgefordert, Bilder mit dem Paket my-package-name aufzulisten:

    List images that contain package `my-package-name`.

    Die Antwort enthält eine Liste mit bis zu 10 Bildern, auf denen das angegebene Paket zu sehen ist.

    Build-Herkunft auflisten

    Sie können Gemini Cloud Assist auffordern, die 10 neuesten Build-Herkunftsdetails für ein bestimmtes Projekt und einen bestimmten Bereich zurückzugeben. Die Ergebnisse werden nach Erstellungsdatum in absteigender Reihenfolge sortiert, wobei die zuletzt erstellten Elemente oben in der Liste stehen. Es werden bis zu 10 Builds angezeigt. Damit Builds aufgeführt werden, müssen sie in den letzten 30 Tagen erstellt worden sein. Dieser Prompt unterstützt nur Builds mit SLSA 1.0-Herkunftsnachweis.

    Sie können die Antwort nach dem Namen des Container-Images filtern.

    Wenn Sie die Build-Herkunft auflisten möchten, geben Sie im Chat von Cloud Assist den folgenden Prompt ein:

    List build provenance for CONTAINER_IMAGE_NAME.

    Ersetzen Sie CONTAINER_IMAGE_NAME durch die ID des Bildes, dessen Herkunft Sie ermitteln möchten.

    Mit dem folgenden Prompt wird Gemini Cloud Assist beispielsweise aufgefordert, die Build-Herkunft für us-central1-docker.pkg.dev/my-project/my-image aufzulisten:

    List build provenance for `us-central1-docker.pkg.dev/my-project/my-image`.

    Sie können den Standort, das Projekt oder die Bilddetails aus dem Namen des Container-Images entfernen, um eine größere Anzahl von Ergebnissen zu erhalten. Die Antwort enthält Details zur Herkunft der 10 neuesten Builds.

    Wenn Sie Ihre Builds in der Google Cloud Console aufrufen möchten, rufen Sie die Seite Build-Verlauf auf.

    SBOMs auflisten

    Sie können Gemini Cloud Assist auffordern, die neuesten SBOMs in Ihrem Repository zurückzugeben. Die Ergebnisse sind nach Erstellungsdatum in absteigender Reihenfolge sortiert. Die zuletzt erstellten Elemente werden oben in der Liste angezeigt. Es können bis zu 10 Builds angezeigt werden, die in den letzten 30 Tagen erstellt wurden.

    Sie können die Antwort nach dem Namen des Container-Images filtern, einschließlich der Details zu „image@digest“.

    Geben Sie im Chat von Cloud Assist den folgenden Prompt ein, um Ihre SBOMs aufzulisten:

    List SBOMs for `CONTAINER_IMAGE_NAME`.

    Ersetzen Sie CONTAINER_IMAGE_NAME durch den Namen des Container-Image, nach dem Sie suchen möchten, z. B. us-central1-docker.pkg.dev/my-project/my-repo.

    Im folgenden Prompt wird Gemini Cloud Assist aufgefordert, die SBOMs für das Repository us-central1-docker.pkg.dev/my-project/my-repo aufzulisten:

    List SBOMs for `us-central1-docker.pkg.dev/my-project/my-repo`.

    Die Antwort enthält SBOM-Details für die 10 neuesten Repositories. Sie können den Standort, das Projekt oder die Bilddetails aus dem Namen des Container-Images entfernen, um eine größere Anzahl von Ergebnissen zu erhalten.

    Sie können alle SBOMs mit dem gcloud CLI-Befehl artifacts SBOM list aufrufen.

    Zusätzliche Prompts

    Die folgenden Prompts veranschaulichen die Möglichkeiten der Verwendung von Variablen zum Filtern mit Gemini Cloud Assist.

    Wenn Sie Sicherheitslücken nach einer bestimmten Variablen auflisten möchten, geben Sie Folgendes in den Cloud Assist-Chat ein:

    List vulnerabilities for `SCOPE`.

    In diesem Prompt kann SCOPE auf ein Projekt, ein Repository, ein Image oder ein Image und einen Digest festgelegt werden.

    Geben Sie im Chat von Cloud Assist Folgendes ein, um Images aufzulisten, die ein bestimmtes Paket enthalten:

    List images that contain the log4j package.

    Geben Sie Folgendes im Chat von Cloud Assist ein, um Images aufzulisten, die eine bestimmte Sicherheitslücke enthalten:

    List images that contain `VULNERABILITY_ID`.

    Ersetzen Sie in diesem Prompt VULNERABILITY_ID durch eine CVE-Nummer.

    Nächste Schritte