Eseguire la scansione dei pacchetti Java manualmente

L'API On-Demand Scanning consente di analizzare le immagini archiviate localmente sul computer o in remoto in Artifact Registry o Container Registry. Puoi utilizzare la scansione on demand per scansionare le immagini nella pipeline CI/CD per rilevare vulnerabilità del sistema e dei pacchetti Java (Maven) prima di decidere se archiviarli in un registro. Per informazioni sui prezzi, consulta la pagina relativa ai prezzi.

Questa pagina descrive come analizzare manualmente le immagini container per rilevare vulnerabilità del sistema e dei pacchetti Maven.

Prima di iniziare

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the On-Demand Scanning API.

Enable the API

Install the Google Cloud CLI.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the On-Demand Scanning API.

Enable the API

Install the Google Cloud CLI.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

1. Aggiungi il componente local-extract all'installazione di Google Cloud CLI

   Utilizzo del gestore di componenti di Google Cloud CLI

   Component Manager ti chiederà di installare i componenti richiesti la prima volta che esegui il comando di scansione.

   Utilizzo del gestore di pacchetti di sistema

   • Per Debian/Ubuntu:

     sudo apt install google-cloud-sdk-local-extract
         

   • Per Red Hat/Fedora/CentOS:

     sudo dnf install google-cloud-sdk-local-extract
         

     In alternativa, puoi sostituire dnf con yum nel comando precedente.

2. Concedi il ruolo IAM Amministratore scansione on demand all'utente o al account di servizio che utilizzerai con la scansione on demand. Se utilizzi l'account proprietario del progetto per eseguire le scansioni, puoi saltare questo passaggio.

Scansione di un'immagine container

• Ricerca locale:

  gcloud artifacts docker images scan IMAGE_URI \
      [--location=(us,europe,asia)] [--async]
  

  Per un'immagine locale, utilizza uno dei seguenti formati per IMAGE_URI:

  • REPOSITORY:TAG
  • REPOSITORY

• Scansione remota:

  gcloud artifacts docker images scan IMAGE_URI \
       --remote [--location=(us,europe,asia)] [--async]
  

  Per un'immagine remota, utilizza uno dei seguenti formati per IMAGE_URI:

  • HOSTNAME/PROJECT_ID/REPOSITORY_ID/IMAGE_ID@sha256:HASH
  • HOSTNAME/PROJECT_ID/REPOSITORY_ID/IMAGE_ID:HASH
  • HOSTNAME/PROJECT_ID/REPOSITORY_ID/IMAGE_ID
  • HOSTNAME/PROJECT_ID/IMAGE_ID@sha256:HASH
  • HOSTNAME/PROJECT_ID/IMAGE_ID:HASH
  • HOSTNAME/PROJECT_ID/IMAGE_ID

  Per le immagini in Artifact Registry, IMAGE_URI deve includere REPOSITORY_ID.

Per le scansioni locali e remote, puoi utilizzare i seguenti flag facoltativi:

• --location è un flag facoltativo per selezionare manualmente la regione multipla in cui viene eseguita la scansione. La scelta di una regione multipla più vicina alla tua posizione fisica riduce al minimo la latenza. Le località disponibili sono: us, europe e asia. La posizione predefinita è us.

• --async è un flag facoltativo per eseguire il processo di scansione in modo asincrono. Se ometti questo flag, il terminale si bloccherà fino al completamento della procedura di scansione.

Scansione sincrona

L'esempio seguente mostra l'output di una scansione sincrona, senza il flag --async:

$ gcloud artifacts docker images scan jenkins:2.60.3-alpine

✓ Scanning container image
  ✓ Locally extracting packages and versions from local container image
  ✓ Remotely initiating analysis of packages and versions
  ✓ Waiting for analysis operation to complete [projects/my-project/locations/us/operations/87d2e137-1d1c-4790-8e5e-daf6c96ae7d7]
Done.
done: true
metadata:
  '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesMetadata
  createTime: '2021-01-05T23:03:04.185261Z'
  resourceUri: jenkins:2.60.3-alpine
name: projects/my-project/locations/us/operations/87d2e137-1d1c-4790-8e5e-daf6c96ae7d7
response:
  '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesResponse
  scan: projects/my-project/locations/us/scans/2fe2bfb8-f0c5-4dd6-a8c8-38961869767a

Utilizza il nome dell'analisi per recuperare i risultati delle vulnerabilità. Nell'esempio, il nome della scansione è il valore di scan nell'ultima riga del messaggio di output.

Scansione asincrona

Il seguente esempio mostra l'output dell'esecuzione di una scansione asincrona:

$ gcloud artifacts docker images scan jenkins:2.60.3-alpine --async

✓ Scanning container image
  ✓ Locally extracting packages and versions from local container image
  ✓ Remotely initiating analysis of packages and versions
Done.
Check operation [projects/cloud-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16] for status.
metadata:
  '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesMetadata
  createTime: '2021-01-05T23:04:54.393510Z'
  resourceUri: jenkins:2.60.3-alpine
name: projects/my-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16

Viene avviata un'operazione a lunga esecuzione e viene restituito il relativo ID senza bloccare il terminale. Utilizza l'ID operazione, il valore di name nell'ultima riga del messaggio di output, per eseguire il polling dell'operazione.

Polling dell'operazione a lunga esecuzione

Utilizza l'ID operazione dall'output del comando di scansione asincrona per verificare lo stato dell'operazione:

gcloud artifacts docker images get-operation LRO_ID

Dove LRO_ID è l'ID operazione a lunga esecuzione.

Continuando con l'esempio della sezione di scansione asincrona, per controllare lo stato dell'operazione:

$ gcloud artifacts docker images get-operation \
  projects/cloud-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16

done: true
metadata:
  '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesMetadata
  createTime: '2021-01-05T23:04:54.393510Z'
  resourceUri: jenkins:2.60.3-alpine
name: projects/my-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16
response:
  '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesResponse
  scan: projects/my-project/locations/us/scans/2fe2bfb8-f0c5-4dd6-a8c8-38961869767a

Se l'output include la riga done: true, l'operazione di scansione è stata completata. Utilizza il nome della scansione per recuperare i risultati delle vulnerabilità. Il nome della scansione è il valore di scan nell'ultima riga del messaggio di output.

Recuperare i risultati della scansione

Per recuperare i risultati della scansione al termine dell'operazione, utilizza il seguente comando:

gcloud artifacts docker images list-vulnerabilities SCAN_NAME [--limit=X]

Dove:

• SCAN_NAME è il nome della scansione. Puoi trovarlo nell'ultima riga dell'output quando esegui una scansione sincrona o interroghi l'operazione di lunga durata, al termine della scansione.

• --limit=X è un flag facoltativo che limita il numero di occorrenze mostrate nell'output. X è un valore numerico.

Ad esempio:

createTime: '2021-06-29T17:01:18.819477Z'
kind: VULNERABILITY
name: projects/my-project/locations/us/occurrences/06305977-f557-4772-8586-4260684291d3
noteName: projects/my-project/notes/CVE-2014-0114
resourceUri: jenkins:2.60.3-alpine
updateTime: '2021-06-29T17:01:18.819477Z'
vulnerability:
  cvssScore: 4.3
  effectiveSeverity: MEDIUM
  longDescription: http/conn/ssl/SSLConnectionSocketFactory.java in ...
  packageIssue:
  - affectedCpeUri: cpe:/o:alpine:alpine_linux:3.13
    affectedPackage: org.apache.httpcomponents:httpclient
    affectedVersion:
      fullName: 4.0.2
      kind: NORMAL
      name: 4.0.2
    effectiveSeverity: MEDIUM
    fixedCpeUri: cpe:/o:alpine:alpine_linux:3.13
    fixedPackage: org.apache.httpcomponents:httpclient
    fixedVersion:
      fullName: 4.3.6
      kind: NORMAL
      name: 4.3.6
    packageType: MAVEN
  relatedUrls:
  - label: More Info
    url: https://security-tracker.debian.org/tracker/CVE-2015-5262
  severity: MEDIUM
  shortDescription: CVE-2015-5262

L'output di questo comando è un elenco di occorrenze nel formato Grafeas. In questo caso, mostra una vulnerabilità di gravità media trovata nell'immagine. Le vulnerabilità del pacchetto Maven contengono il campo packageType:MAVEN.

I risultati della scansione sono disponibili per 48 ore dopo il completamento dell'operazione di scansione.

Passaggi successivi

• Utilizza l'API On-Demand Scanning nella pipeline di Cloud Build.
• Utilizza Artifact Analysis per eseguire la scansione e aggiornare continuamente le informazioni sulle vulnerabilità delle immagini archiviate in Artifact Registry.