Menjelajahi kerentanan dengan bantuan Gemini

Dokumen ini menjelaskan cara menggunakan Gemini Cloud Assist untuk mempelajari status artefak Anda, mendapatkan informasi tentang repositori dan metadata artefak, serta menggunakan informasi Analisis Artefak untuk menjawab pertanyaan tentang kerentanan artefak dan software bill of materials (SBOM) Anda.

Sebelum memulai

  1. Pastikan Anda telah menyiapkan Gemini Cloud Assist di Google Cloud project Anda.
  2. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  3. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  4. Make sure that billing is enabled for your Google Cloud project.

  5. Enable the Artifact Registry and Container Scanning APIs.

    Enable the APIs

  6. Install the Google Cloud CLI.

  7. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  8. To initialize the gcloud CLI, run the following command: 

    gcloud init

  9. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  10. Make sure that billing is enabled for your Google Cloud project.

  11. Enable the Artifact Registry and Container Scanning APIs.

    Enable the APIs

  12. Install the Google Cloud CLI.

  13. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  14. To initialize the gcloud CLI, run the following command: 

    gcloud init

    15. Peran yang diperlukan

    Untuk mendapatkan izin yang Anda perlukan guna meminta Gemini Cloud Assist memberikan informasi tentang artefak Anda, minta administrator Anda untuk memberi Anda peran IAM berikut:

    Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

    Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

    Membuka Gemini Cloud Assist

    Anda dapat membuka chat Gemini Cloud Assist dari mana saja di konsolGoogle Cloud .

    1. Di konsol Google Cloud , pilih project tempat Anda menyimpan image container di Artifact Registry.

      Buka pemilih project

    2. Untuk membuka panel Cloud Assist, klik spark Open or close Gemini AI chat.
    3. Untuk memasukkan perintah, ketik perintah, lalu klik kirim Kirim.

    Pertimbangan Perintah

    Berikut adalah daftar pertimbangan khusus Analisis Artefak yang harus Anda perhatikan saat membuat perintah Gemini Cloud Assist. Untuk mengetahui detail selengkapnya tentang saran umum penulisan perintah, buka Menulis perintah yang lebih baik untuk Gemini untuk Google Cloud.

    • Semua perintah secara default ditujukan ke project yang dipilih, tetapi Anda dapat mengarahkan perintah untuk memfilter menurut lokasi, repositori, atau image.
    • Kueri apa pun berdasarkan nama image container memperlakukan nama image container sebagai awalan. Dengan begitu, Anda dapat memfilter dalam project, repositori, atau gambar tertentu (di berbagai SHA), tetapi tidak dapat memfilter menurut tag.
    • Untuk mendapatkan hasil yang lebih spesifik, sertakan cakupan. Misalnya, untuk mendapatkan hasil untuk gambar tertentu, sertakan nama gambar dalam cakupan. Anda dapat memfilter dengan menambahkan detail project, repositori, image, atau image@digest ke nama image container.
    • Penentu wilayah tidak diperlukan untuk perintah Analisis Artefak karena Analisis Artefak memberikan hasil gabungan dari semua wilayah. Anda dapat menentukan penentu wilayah untuk memfilter hasil.

    Buat daftar kerentanan teratas saya yang diketahui

    Anda dapat meminta Gemini Cloud Assist untuk mencantumkan kerentanan utama yang diketahui dalam project Anda saat ini. Kerentanan diurutkan berdasarkan skor Sistem Penskoran Kerentanan Umum (CVSS) dalam urutan menurun, dan dikelompokkan berdasarkan ID kerentanan. Hanya 10 kerentanan teratas yang ditampilkan. Hasilnya mencakup kerentanan dari semua image yang dipindai dalam 30 hari terakhir.

    Anda dapat memfilter respons berdasarkan nama image container.

    Untuk mencantumkan kerentanan utama yang diketahui, di Gemini Cloud Assist Chat, masukkan perintah berikut:

    List artifact vulnerabilities for `CONTAINER_IMAGE_NAME`.

    Ganti CONTAINER_IMAGE_NAME dengan nama image container yang menyertakan repositori Anda—misalnya, us-central1-docker.pkg.dev/my-project/my-repository.

    Menyertakan lebih banyak detail dalam nama image container akan memberikan respons yang lebih akurat. Misalnya— LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE akan memberikan detail kerentanan pada image tertentu.

    Perintah berikut meminta Gemini Cloud Assist untuk mencantumkan kerentanan umum teratas untuk repositori us-central1-docker.pkg.dev/my-project/my-repository:

    List artifact vulnerabilities for
`us-central1-docker.pkg.dev/my-project/my-repository`.

    Respons mencakup daftar hingga 10 kerentanan yang diurutkan berdasarkan skor CVSS dalam urutan menurun untuk repositori yang ditentukan.

    Untuk melihat semua kerentanan Anda, gunakan perintah gcloud CLI artifacts vulnerabilities list. Anda dapat menyertakan nama gambar yang tidak memenuhi syarat, atau memberikan Secure Hash Algorithm (SHA) untuk melihat kerentanan.

    Mencantumkan gambar menurut kerentanan

    Anda dapat meminta Gemini Cloud Assist untuk menampilkan semua gambar Anda yang mencakup kerentanan tertentu. Respons diurutkan dalam urutan menurun dari tanggal pembuatan terbaru dan mencakup gambar yang dipindai dalam 30 hari terakhir. Perintah ini menampilkan maksimal 10 gambar dan hanya menyertakan gambar yang telah dipindai oleh Artifact Analysis.

    Anda dapat memfilter respons berdasarkan hal berikut:

    • ID Kerentanan
    • Nama image container

    Untuk mencantumkan gambar Anda yang menyertakan kerentanan tertentu, di chat Cloud Assist, masukkan perintah berikut:

    List docker container images that contain vulnerability
`VULNERABILITY_ID`.

    Ganti VULNERABILITY_ID dengan ID kerentanan yang ingin Anda temukan—misalnya, CVE-2024-01234.

    Perintah berikut meminta Gemini Cloud Assist untuk mencantumkan gambar yang berisi kerentanan CVE-2024-01234:

    List artifact vulnerabilities for `CVE-2024-01234`.

    Responsnya mencakup daftar hingga 10 gambar yang berisi kerentanan yang ditentukan, yang diurutkan berdasarkan skor CVSS dalam urutan menurun untuk repositori yang ditentukan.

    Mencantumkan gambar menurut paket

    Anda dapat meminta Gemini Cloud Assist untuk menampilkan daftar gambar yang menyertakan paket tertentu. Gambar diurutkan dalam urutan menurun dari tanggal pembuatannya dan mencakup gambar yang dipindai dalam 30 hari terakhir. Perintah ini menampilkan maksimal 10 gambar dan hanya menyertakan gambar yang telah dipindai oleh Artifact Analysis.

    Anda dapat memfilter respons berdasarkan nama image container.

    Untuk mencantumkan gambar Anda yang menyertakan paket tertentu, di chat Cloud Assist, masukkan perintah berikut:

    List docker container images that contain package
`PACKAGE_ID`.

    Ganti PACKAGE_ID dengan ID paket yang ingin Anda temukan.

    Misalnya, perintah berikut meminta Gemini Cloud Assist untuk mencantumkan gambar yang berisi paket my-package-name:

    List images that contain package `my-package-name`.

    Respons mencakup daftar hingga 10 gambar yang berisi paket yang ditentukan.

    Mencantumkan provenance build

    Anda dapat meminta Gemini Cloud Assist untuk menampilkan 10 detail asal build terbaru untuk project dan cakupan tertentu. Hasil diurutkan berdasarkan tanggal pembuatan dalam urutan menurun dengan item yang baru dibuat di bagian atas daftar. Hingga 10 build ditampilkan. Agar tercantum, build harus dibuat dalam 30 hari terakhir. Perintah ini hanya mendukung build dengan provenans SLSA 1.0.

    Anda dapat memfilter respons berdasarkan nama image container.

    Untuk mencantumkan asal build Anda, di chat Cloud Assist, masukkan perintah berikut:

    List build provenance for CONTAINER_IMAGE_NAME.

    Ganti CONTAINER_IMAGE_NAME dengan ID gambar yang ingin Anda pelajari asal-usulnya.

    Misalnya, perintah berikut meminta Gemini Cloud Assist untuk mencantumkan asal build untuk us-central1-docker.pkg.dev/my-project/my-image:

    List build provenance for `us-central1-docker.pkg.dev/my-project/my-image`.

    Anda dapat menghapus detail lokasi, project, atau gambar dari nama image container untuk menampilkan kumpulan hasil yang lebih luas. Respons mencakup detail asal build untuk 10 build terbaru.

    Untuk melihat build di konsol Google Cloud , buka halaman Build History.

    Mencantumkan SBOM

    Anda dapat meminta Gemini Cloud Assist untuk menampilkan SBOM terbaru di repositori Anda. Hasil diurutkan berdasarkan tanggal pembuatan dalam urutan menurun dengan item yang baru dibuat berada di bagian atas daftar. Hingga 10 build yang dibuat dalam 30 hari terakhir dapat ditampilkan.

    Anda dapat memfilter respons berdasarkan nama image container, termasuk detail image@digest.

    Untuk mencantumkan SBOM Anda, di chat Cloud Assist, masukkan perintah berikut:

    List SBOMs for `CONTAINER_IMAGE_NAME`.

    Ganti CONTAINER_IMAGE_NAME dengan nama image container yang ingin Anda cari—misalnya, us-central1-docker.pkg.dev/my-project/my-repo.

    Perintah berikut meminta Gemini Cloud Assist untuk mencantumkan SBOM untuk repositori us-central1-docker.pkg.dev/my-project/my-repo:

    List SBOMs for `us-central1-docker.pkg.dev/my-project/my-repo`.

    Respons mencakup detail SBOM untuk 10 repositori terbaru. Anda dapat menghapus detail lokasi, project, atau gambar dari nama image container untuk menampilkan kumpulan hasil yang lebih luas.

    Anda dapat melihat semua SBOM menggunakan perintah gcloud CLI artifacts SBOM list.

    Perintah tambahan

    Perintah berikut menunjukkan kemampuan penggunaan variabel untuk memfilter dengan Gemini Cloud Assist.

    Untuk mencantumkan kerentanan menurut variabel tertentu, masukkan perintah berikut di chat Cloud Assist:

    List vulnerabilities for `SCOPE`.

    Dalam perintah ini, SCOPE dapat disetel ke project, repositori, gambar, atau gambar dan ringkasan.

    Untuk mencantumkan image yang berisi paket tertentu, masukkan perintah berikut di chat Cloud Assist:

    List images that contain the log4j package.

    Untuk mencantumkan image yang berisi kerentanan tertentu, masukkan perintah berikut di chat Cloud Assist:

    List images that contain `VULNERABILITY_ID`.

    Dalam perintah ini, ganti VULNERABILITY_ID dengan nomor CVE.

    Langkah berikutnya