Questo documento descrive come configurare le notifiche per gli aggiornamenti delle note e delle occorrenza.
Artifact Analysis fornisce notifiche tramite Pub/Sub per le vulnerabilità trovate dalla scansione automatica e per altri metadati. Quando viene creata o aggiornata una nota o un'occorrenza, viene pubblicato un messaggio nell'argomento corrispondente per ogni versione dell'API. Utilizza l'argomento per la versione dell'API in uso.
Prima di iniziare
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Enable the Container Analysis API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Enable the Container Analysis API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- Scopri come configurare il controllo dell'accesso per i metadati nel tuo progetto. Ignora questo passaggio se utilizzi solo i metadati delle occorrenze di vulnerabilità create dall'analisi dei container di Artifact Analysis.
Crea argomenti Pub/Sub
Dopo aver attivato l'API Artifact Analysis, Artifact Analysis crea automaticamente argomenti Pub/Sub con i seguenti ID argomento:
container-analysis-notes-v1
container-analysis-occurrences-v1
Se gli argomenti sono stati eliminati per errore o non sono presenti, puoi aggiungerli da solo. Ad esempio, gli argomenti potrebbero non essere presenti se la tua organizzazione Google Cloud ha un vincolo dei criteri dell'organizzazione che richiede la crittografia con chiavi di crittografia gestite dal cliente (CMEK). Quando l'API Pub/Sub è nell'elenco di rifiuto di questo vincolo, i servizi non possono creare automaticamente argomenti con chiavi di proprietà e gestite da Google.
Per creare gli argomenti con chiavi di proprietà e gestite da Google:
Console
Vai alla pagina degli argomenti Pub/Sub nella console Google Cloud.
Fai clic su Crea argomento.
Inserisci un ID argomento:
container-analysis-notes-v1
in modo che il nome corrisponda all'URI:
projects/PROJECT_ID/topics/container-analysis-notes-v1
dove PROJECT_ID è il tuo ID progetto Google Cloud.
Fai clic su Crea.
Inserisci un ID argomento:
container-analysis-occurrences-v1
in modo che il nome corrisponda all'URI:
projects/PROJECT_ID/topics/container-analysis-occurrences-v1
gcloud
Esegui i seguenti comandi nella shell o nella finestra del terminale:
gcloud pubsub topics create projects/PROJECT_ID/topics/container-analysis-notes-v1
gcloud pubsub topics create projects/PROJECT_ID/topics/container-analysis-occurrences-v1
Per scoprire di più sul comando gcloud pubsub topics
, consulta la documentazione di topics
.
Per creare gli argomenti con crittografia CMEK, consulta le istruzioni per la crittografia degli argomenti di Pub/Sub.
Ogni volta che viene creata o aggiornata una nota o un'occorrenza, viene pubblicato un messaggio nel rispettivo argomento, ma devi anche creare un abbonamento Pub/Sub per ascoltare gli eventi e ricevere i messaggi dal servizio Pub/Sub.
Creare sottoscrizioni Pub/Sub
Per ascoltare gli eventi, crea una sottoscrizione Pub/Sub associata all'argomento:
Console
Vai alla pagina degli abbonamenti Pub/Sub nella console Google Cloud.
Fai clic su Crea sottoscrizione.
Digita un nome per l'abbonamento. Ad esempio, note.
Inserisci l'URI dell'argomento per le note:
projects/PROJECT_ID/topics/container-analysis-notes-v1
dove PROJECT_ID è il tuo ID progetto Google Cloud.
Fai clic su Crea.
Crea un'altra sottoscrizione per le occorrenze con l'URI:
projects/PROJECT_ID/topics/container-analysis-occurrences-v1
gcloud
Per ricevere gli eventi Pub/Sub, devi prima creare una sottoscrizione associata all'argomento container-analysis-occurrences-v1
:
gcloud pubsub subscriptions create \
--topic container-analysis-occurrences-v1 occurrences
In futuro, potrai recuperare i messaggi relativi alle tue occorrenze utilizzando il nuovo abbonamento:
gcloud pubsub subscriptions pull \
--auto-ack occurrences
Java
Per scoprire come installare e utilizzare la libreria client per Artifact Analysis, consulta Librerie client di Artifact Analysis. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API Artifact Analysis Java.
Per autenticarti ad Artifact Analysis, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Go
Per scoprire come installare e utilizzare la libreria client per Artifact Analysis, consulta Librerie client di Artifact Analysis. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API Artifact Analysis Go.
Per autenticarti ad Artifact Analysis, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Node.js
Per scoprire come installare e utilizzare la libreria client per Artifact Analysis, consulta Librerie client di Artifact Analysis. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API Artifact Analysis Node.js.
Per autenticarti ad Artifact Analysis, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Ruby
Per scoprire come installare e utilizzare la libreria client per Artifact Analysis, consulta Librerie client di Artifact Analysis. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API Artifact Analysis Ruby.
Per autenticarti ad Artifact Analysis, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Python
Per scoprire come installare e utilizzare la libreria client per Artifact Analysis, consulta Librerie client di Artifact Analysis. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API Artifact Analysis Python.
Per autenticarti ad Artifact Analysis, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Le applicazioni del sottoscrittore ricevono solo i messaggi pubblicati nell'argomento dopo la creazione della sottoscrizione.
I payload di Pub/Sub sono in JSON e il relativo schema è il seguente:
Note:
{ "name": "projects/PROJECT_ID/notes/NOTE_ID", "kind": "NOTE_KIND", "notificationTime": "NOTIFICATION_TIME", }
Occorrenze:
{ "name": "projects/PROJECT_ID/occurrences/OCCURRENCE_ID", "kind": "NOTE_KIND", "notificationTime": "NOTIFICATION_TIME", }
dove:
- NOTE_KIND è uno dei valori in
NoteKind
- NOTIFICATION_TIME è un timestamp in formato "Zulu" UTC RFC 3339, preciso al nanosecondo.
Visualizza dettagli
Per saperne di più su una nota o un'occorrenza, puoi accedere ai metadati archiviati in Artifact Analysis. Ad esempio, puoi richiedere tutti i dettagli per un'occorrenza specifica. Consulta le istruzioni in Investigare le vulnerabilità.
Passaggi successivi
Per istruzioni su come utilizzare l'Artifact Analysis per archiviare e gestire i metadati personalizzati, consulta Creare note e occorrenze personalizzate.
Puoi utilizzare le attestazioni con l'analisi delle vulnerabilità per impedire l'esecuzione di immagini con problemi di sicurezza noti nell'ambiente di deployment. Per istruzioni su come eseguire questa operazione, consulta Creare attestazioni con Kritis Signer.