L'API On-Demand Scanning vous permet d'analyser des images stockées localement sur votre ordinateur ou à distance dans Artifact Registry ou Container Registry. Vous pouvez utiliser l'analyse à la demande pour analyser les images de votre pipeline CI/CD à la recherche de failles système et de failles de package Java (Maven) avant de décider de les stocker dans un registre. Pour en savoir plus sur la tarification, consultez la page Tarifs.
Cette page explique comment analyser manuellement les images de conteneur pour détecter les failles du système et les failles des packages Maven.
Avant de commencer
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the On-Demand Scanning API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the On-Demand Scanning API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Ajouter le composant local-extract à votre installation de la Google Cloud CLI
À l'aide du Gestionnaire de composants de la Google Cloud CLI
Le gestionnaire de composants vous invite à installer les composants requis la première fois que vous exécutez la commande d'analyse.
À l'aide du gestionnaire de paquets de votre système
-
Pour Debian/Ubuntu:
sudo apt install google-cloud-sdk-local-extract
-
Pour Red Hat/Fedora/CentOS:
sudo dnf install google-cloud-sdk-local-extract
Vous pouvez également remplacer
dnf
paryum
dans la commande précédente.
-
Pour Debian/Ubuntu:
- Attribuez le rôle IAM Administrateur de l'analyse à la demande à l'utilisateur ou au compte de service que vous utiliserez avec l'analyse à la demande. Si vous utilisez le compte propriétaire du projet pour exécuter les analyses, vous pouvez ignorer cette étape.
Analyser une image de conteneur
Analyse locale:
gcloud artifacts docker images scan IMAGE_URI \ [--location=(us,europe,asia)] [--async]
Pour une image locale, utilisez l'un des formats suivants pour IMAGE_URI:
REPOSITORY:TAG
REPOSITORY
Analyse à distance:
gcloud artifacts docker images scan IMAGE_URI \ --remote [--location=(us,europe,asia)] [--async]
Pour une image distante, utilisez l'un des formats suivants pour IMAGE_URI:
HOSTNAME/PROJECT_ID/REPOSITORY_ID/IMAGE_ID@sha256:HASH
HOSTNAME/PROJECT_ID/REPOSITORY_ID/IMAGE_ID:HASH
HOSTNAME/PROJECT_ID/REPOSITORY_ID/IMAGE_ID
HOSTNAME/PROJECT_ID/IMAGE_ID@sha256:HASH
HOSTNAME/PROJECT_ID/IMAGE_ID:HASH
HOSTNAME/PROJECT_ID/IMAGE_ID
Pour les images d'Artifact Registry, le IMAGE_URI doit inclure le
REPOSITORY_ID
.
Pour les analyses locales et à distance, vous pouvez utiliser les options facultatives suivantes:
--location
est un indicateur facultatif qui permet de sélectionner manuellement la multirégion dans laquelle l'analyse a lieu. Le choix d'un emplacement multirégional plus proche de votre emplacement physique minimise la latence. Les emplacements disponibles sont les suivants:us
,europe
etasia
. L'emplacement par défaut estus
.--async
est un indicateur facultatif permettant d'exécuter le processus d'analyse de manière asynchrone. Si vous omettez cet indicateur, votre terminal sera bloqué jusqu'à la fin du processus d'analyse.
Analyse synchrone
L'exemple suivant montre la sortie d'une analyse synchrone, sans l'indicateur --async
:
$ gcloud artifacts docker images scan jenkins:2.60.3-alpine ✓ Scanning container image ✓ Locally extracting packages and versions from local container image ✓ Remotely initiating analysis of packages and versions ✓ Waiting for analysis operation to complete [projects/my-project/locations/us/operations/87d2e137-1d1c-4790-8e5e-daf6c96ae7d7] Done. done: true metadata: '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesMetadata createTime: '2021-01-05T23:03:04.185261Z' resourceUri: jenkins:2.60.3-alpine name: projects/my-project/locations/us/operations/87d2e137-1d1c-4790-8e5e-daf6c96ae7d7 response: '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesResponse scan: projects/my-project/locations/us/scans/2fe2bfb8-f0c5-4dd6-a8c8-38961869767a
Utilisez le nom de l'analyse pour récupérer les résultats de l'analyse des failles. Dans l'exemple, le nom de l'analyse correspond à la valeur de scan
dans la dernière ligne du message de sortie.
Analyse asynchrone
L'exemple suivant montre le résultat d'une analyse asynchrone:
$ gcloud artifacts docker images scan jenkins:2.60.3-alpine --async ✓ Scanning container image ✓ Locally extracting packages and versions from local container image ✓ Remotely initiating analysis of packages and versions Done. Check operation [projects/cloud-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16] for status. metadata: '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesMetadata createTime: '2021-01-05T23:04:54.393510Z' resourceUri: jenkins:2.60.3-alpine name: projects/my-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16
Cela lance une opération de longue durée et renvoie son ID sans bloquer votre terminal. Utilisez l'ID d'opération, la valeur de name
dans la dernière ligne du message de sortie, pour interroger l'opération.
Interroger l'opération de longue durée
Utilisez l'ID d'opération de la sortie de la commande d'analyse asynchrone pour vérifier l'état de l'opération:
gcloud artifacts docker images get-operation LRO_ID
où LRO_ID est l'ID de l'opération de longue durée.
Poursuivant l'exemple de la section sur l'analyse asynchrone, pour vérifier l'état de l'opération:
$ gcloud artifacts docker images get-operation \ projects/cloud-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16 done: true metadata: '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesMetadata createTime: '2021-01-05T23:04:54.393510Z' resourceUri: jenkins:2.60.3-alpine name: projects/my-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16 response: '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesResponse scan: projects/my-project/locations/us/scans/2fe2bfb8-f0c5-4dd6-a8c8-38961869767a
Si la sortie inclut la ligne done: true
, l'opération d'analyse est terminée. Utilisez le nom de l'analyse pour récupérer les résultats des failles.
Le nom de l'analyse correspond à la valeur de scan
dans la dernière ligne du message de sortie.
Récupérer les résultats de l'analyse
Pour récupérer les résultats de l'analyse une fois l'opération terminée, utilisez la commande suivante:
gcloud artifacts docker images list-vulnerabilities SCAN_NAME [--limit=X]
Où :
SCAN_NAME correspond au nom de l'analyse. Vous le trouverez sur la dernière ligne de la sortie lorsque vous exécutez une analyse synchrone ou que vous interrogez l'opération de longue durée, une fois l'analyse terminée.
--limit=X
est un indicateur facultatif qui limite le nombre d'occurrences affichées dans la sortie.X
est une valeur numérique.
Exemple :
createTime: '2021-06-29T17:01:18.819477Z' kind: VULNERABILITY name: projects/my-project/locations/us/occurrences/06305977-f557-4772-8586-4260684291d3 noteName: projects/my-project/notes/CVE-2014-0114 resourceUri: jenkins:2.60.3-alpine updateTime: '2021-06-29T17:01:18.819477Z' vulnerability: cvssScore: 4.3 effectiveSeverity: MEDIUM longDescription: http/conn/ssl/SSLConnectionSocketFactory.java in ... packageIssue: - affectedCpeUri: cpe:/o:alpine:alpine_linux:3.13 affectedPackage: org.apache.httpcomponents:httpclient affectedVersion: fullName: 4.0.2 kind: NORMAL name: 4.0.2 effectiveSeverity: MEDIUM fixedCpeUri: cpe:/o:alpine:alpine_linux:3.13 fixedPackage: org.apache.httpcomponents:httpclient fixedVersion: fullName: 4.3.6 kind: NORMAL name: 4.3.6 packageType: MAVEN relatedUrls: - label: More Info url: https://security-tracker.debian.org/tracker/CVE-2015-5262 severity: MEDIUM shortDescription: CVE-2015-5262
Le résultat de cette commande est une liste d'occurrences au format Grafeas. Dans ce cas, une faille de gravité moyenne a été détectée dans l'image. Les failles des paquets Maven contiennent le champ packageType:MAVEN
.
Les résultats de l'analyse sont disponibles pendant 48 heures après la fin de l'opération d'analyse.
Étape suivante
- Utilisez l'API On-Demand Scanning dans votre pipeline Cloud Build.
- Utilisez Artifact Analysis pour analyser et mettre à jour en permanence les informations sur les failles de vos images stockées dans Artifact Registry.