Explore vulnerabilidades com a assistência do Gemini

Este documento descreve como pode usar o Gemini Cloud Assist para saber mais acerca do estado dos seus artefactos, obter informações sobre repositórios e metadados de artefactos, e usar informações da análise de artefactos para responder a perguntas sobre vulnerabilidades de artefactos e a sua lista de materiais de software (SBOMs).

Antes de começar

  1. Certifique-se de que configurou o Gemini Cloud Assist no seu Google Cloud projeto.
  2. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  3. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  4. Verify that billing is enabled for your Google Cloud project.

  5. Enable the Artifact Registry and Container Scanning APIs.

    Enable the APIs

  6. Install the Google Cloud CLI.

  7. Se estiver a usar um fornecedor de identidade (IdP) externo, primeiro, tem de iniciar sessão na CLI gcloud com a sua identidade federada.

  8. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

  9. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  10. Verify that billing is enabled for your Google Cloud project.

  11. Enable the Artifact Registry and Container Scanning APIs.

    Enable the APIs

  12. Install the Google Cloud CLI.

  13. Se estiver a usar um fornecedor de identidade (IdP) externo, primeiro, tem de iniciar sessão na CLI gcloud com a sua identidade federada.

  14. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

    15. Funções necessárias

    Para receber as autorizações de que precisa para pedir ao Gemini Cloud Assist informações sobre os seus artefactos, peça ao administrador para lhe conceder as seguintes funções de IAM:

    Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

    Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

    Abra o Gemini Cloud Assist

    Pode abrir o chat do Gemini Cloud Assist em qualquer lugar na Google Cloud consola.

    1. Na Google Cloud consola, selecione um projeto no qual tenha imagens de contentores armazenadas no Artifact Registry.

      Aceder ao seletor de projetos

    2. Para abrir o painel do Cloud Assist, clique em spark Abrir ou fechar o chat da Gemini AI.
    3. Para introduzir um comando, escreva o comando e clique em enviar Enviar.

    Considerações sobre comandos

    Seguem-se algumas considerações específicas da análise de artefactos que deve ter em atenção ao gerar comandos do Gemini Cloud Assist. Para mais detalhes sobre conselhos gerais de escrita de comandos, consulte o artigo Escreva comandos melhores para o Gemini para Google Cloud.

    • Todos os comandos são predefinidos para o projeto selecionado. No entanto, pode direcionar o seu comando para filtrar por localização, repositório ou imagem.
    • Qualquer consulta baseada num nome de imagem de contentor trata o nome de imagem de contentor como um prefixo. Isto permite-lhe filtrar num projeto, num repositório ou numa imagem específica (em diferentes SHAs), mas não permite filtrar por etiqueta.
    • Para ver resultados mais específicos, inclua um âmbito. Por exemplo, para obter resultados para uma imagem específica, inclua o nome da imagem no âmbito. Pode filtrar adicionando detalhes do projeto, repositório, imagem ou imagem@digest ao nome da imagem do contentor.
    • Os qualificadores de região não são necessários para os comandos de análise de artefactos, uma vez que a análise de artefactos fornece resultados combinados de todas as regiões. Pode especificar um qualificador de região para filtrar os resultados.

    Apresentar as minhas principais vulnerabilidades conhecidas

    Pode pedir ao Gemini Cloud Assist para listar as principais vulnerabilidades conhecidas no seu projeto atual. As vulnerabilidades são ordenadas pela respetiva pontuação do Common Vulnerability Scoring System (CVSS) por ordem descendente e agrupadas pelo respetivo ID de vulnerabilidade. Apenas são apresentadas as 10 principais vulnerabilidades. Os resultados incluem vulnerabilidades de todas as imagens analisadas nos últimos 30 dias.

    Pode filtrar a resposta pelo nome da imagem do contentor.

    Para listar as principais vulnerabilidades conhecidas, no chat do Gemini Cloud Assist, introduza o seguinte comando:

    List artifact vulnerabilities for `CONTAINER_IMAGE_NAME`.

    Substitua CONTAINER_IMAGE_NAME pelo nome da imagem do contentor que inclui o seu repositório, por exemplo, us-central1-docker.pkg.dev/my-project/my-repository.

    A inclusão de mais detalhes no nome da imagem do contentor devolve uma resposta mais precisa. Por exemplo, LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE forneceria detalhes de vulnerabilidade numa imagem específica.

    O comando seguinte pede ao Gemini Cloud Assist para listar as principais vulnerabilidades conhecidas do repositórious-central1-docker.pkg.dev/my-project/my-repository:

    List artifact vulnerabilities for
`us-central1-docker.pkg.dev/my-project/my-repository`.

    A resposta inclui uma lista de até 10 vulnerabilidades ordenadas pela respetiva pontuação CVSS por ordem descendente para o repositório especificado.

    Para ver todas as suas vulnerabilidades, use o comando da CLI gcloud artifacts vulnerabilities list. Pode incluir o nome da imagem não qualificado ou fornecer um algoritmo de hash seguro (SHA) para ver as vulnerabilidades.

    Liste imagens por vulnerabilidade

    Pode pedir ao Gemini Cloud Assist para apresentar todas as suas imagens que incluam uma vulnerabilidade especificada. A resposta é ordenada por ordem descendente a partir da data de criação mais recente e inclui imagens analisadas nos últimos 30 dias. Este comando apresenta um máximo de 10 imagens e inclui apenas imagens que foram analisadas pela análise de artefactos.

    Pode filtrar a resposta pelo seguinte:

    • ID da vulnerabilidade
    • Nome da imagem do contentor

    Para listar as suas imagens que incluem uma vulnerabilidade específica, no chat do Cloud Assist, introduza o seguinte comando:

    List docker container images that contain vulnerability
`VULNERABILITY_ID`.

    Substitua VULNERABILITY_ID pelo ID da vulnerabilidade que quer localizar, por exemplo, CVE-2024-01234.

    O seguinte comando pede ao Gemini Cloud Assist para listar as imagens que contêm a vulnerabilidade CVE-2024-01234:

    List artifact vulnerabilities for `CVE-2024-01234`.

    A resposta inclui uma lista de até 10 imagens que contêm a vulnerabilidade especificada, ordenadas pela respetiva pontuação CVSS por ordem descendente para o repositório especificado.

    Liste imagens por pacote

    Pode pedir ao Gemini Cloud Assist para devolver uma lista de imagens que incluam um pacote especificado. As imagens são ordenadas por ordem descendente a partir da respetiva data de criação e incluem imagens analisadas nos últimos 30 dias. Este comando apresenta um máximo de 10 imagens e inclui apenas imagens que foram analisadas pela análise de artefactos.

    Pode filtrar a resposta pelo nome da imagem do contentor.

    Para listar as imagens que incluem um pacote específico, no chat do Cloud Assist, introduza o seguinte comando:

    List docker container images that contain package
`PACKAGE_ID`.

    Substitua PACKAGE_ID pelo ID do pacote que quer localizar.

    Por exemplo, o seguinte comando pede ao Gemini Cloud Assist para listar imagens que contenham o pacote my-package-name:

    List images that contain package `my-package-name`.

    A resposta inclui uma lista de até 10 imagens que contêm o pacote especificado.

    Proveniência da criação de listas

    Pode pedir ao Gemini Cloud Assist para devolver os detalhes de proveniência das 10 compilações mais recentes para um projeto e um âmbito especificados. Os resultados são ordenados por data de criação por ordem descendente, com os itens criados mais recentemente na parte superior da lista. São apresentadas até 10 compilações. Para serem apresentadas, as compilações têm de ter sido criadas nos últimos 30 dias. Este comando só suporta compilações com proveniência SLSA 1.0.

    Pode filtrar a resposta pelo nome da imagem do contentor.

    Para listar a proveniência da compilação, no chat do Cloud Assist, introduza o seguinte comando:

    List build provenance for CONTAINER_IMAGE_NAME.

    Substitua CONTAINER_IMAGE_NAME pelo ID da imagem cuja proveniência quer saber.

    Por exemplo, o seguinte comando pede ao Gemini Cloud Assist para listar a proveniência da compilação para us-central1-docker.pkg.dev/my-project/my-image:

    List build provenance for `us-central1-docker.pkg.dev/my-project/my-image`.

    Pode remover os detalhes da localização, do projeto ou da imagem do nome da imagem do contentor para devolver um conjunto mais amplo de resultados. A resposta inclui detalhes de proveniência da compilação para as 10 compilações mais recentes.

    Para ver as suas compilações na Google Cloud consola, aceda à página Histórico de compilações.

    Apresente SBOMs

    Pode pedir ao Gemini Cloud Assist para devolver as SBOMs mais recentes no seu repositório. Os resultados são ordenados por data de criação por ordem descendente, com os itens criados mais recentemente na parte superior da lista. Podem ser apresentadas até 10 compilações criadas nos últimos 30 dias.

    Pode filtrar a resposta pelo nome da imagem do contentor, incluindo detalhes de image@digest.

    Para listar as suas SBOMs, no chat do Cloud Assist, introduza o seguinte comando:

    List SBOMs for `CONTAINER_IMAGE_NAME`.

    Substitua CONTAINER_IMAGE_NAME pelo nome da imagem do contentor que quer pesquisar. Por exemplo, us-central1-docker.pkg.dev/my-project/my-repo.

    O seguinte comando pede ao Gemini Cloud Assist para listar as SBOMs do repositório us-central1-docker.pkg.dev/my-project/my-repo:

    List SBOMs for `us-central1-docker.pkg.dev/my-project/my-repo`.

    A resposta inclui detalhes da SBOM para os 10 repositórios mais recentes. Pode remover os detalhes da localização, do projeto ou da imagem do nome da imagem do contentor para devolver um conjunto mais amplo de resultados.

    Pode ver todas as SBOMs através do comando da CLI gcloud artifacts SBOM list.

    Comandos adicionais

    Os comandos seguintes demonstram as capacidades de utilização de variáveis para filtrar com o Gemini Cloud Assist.

    Para listar vulnerabilidades por uma variável específica, introduza o seguinte no chat do Cloud Assist:

    List vulnerabilities for `SCOPE`.

    Neste comando, SCOPE pode ser definido como um projeto, um repositório, uma imagem ou uma imagem e um resumo.

    Para listar imagens que contêm um pacote específico, introduza o seguinte no chat do Cloud Assist:

    List images that contain the log4j package.

    Para listar imagens que contêm uma vulnerabilidade específica, introduza o seguinte no chat do Cloud Assist:

    List images that contain `VULNERABILITY_ID`.

    Neste comando, substitua VULNERABILITY_ID por um número de CVE.

    O que se segue?