Memindai paket OS secara manual

Dengan On-Demand Scanning API, Anda dapat memindai image yang disimpan secara lokal di komputer, atau dari jarak jauh di Artifact Registry atau Container Registry. Hal ini memberi Anda kontrol terperinci atas penampung yang ingin Anda pindai untuk menemukan kerentanan. Anda dapat menggunakan Pemindaian On-Demand untuk memindai image di pipeline CI/CD sebelum memutuskan apakah akan menyimpannya di registry. Lihat Halaman harga untuk mengetahui informasi harga.

Halaman ini menjelaskan cara memindai image container secara manual dengan Pemindaian On-Demand.

Sebelum memulai

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the On-Demand Scanning API.

   Enable the API

5. Install the Google Cloud CLI.

6. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

7. To initialize the gcloud CLI, run the following command:

   gcloud init

8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

9. Make sure that billing is enabled for your Google Cloud project.

10. Enable the On-Demand Scanning API.

    Enable the API

11. Install the Google Cloud CLI.

12. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

13. To initialize the gcloud CLI, run the following command:

    gcloud init

14. Menambahkan komponen local-extract ke penginstalan Google Cloud CLI Anda

    Menggunakan Pengelola Komponen Google Cloud CLI

    Pengelola komponen akan meminta Anda menginstal komponen yang diperlukan saat pertama kali menjalankan perintah pemindaian.

    Menggunakan pengelola paket sistem

    • Untuk Debian/Ubuntu:

      sudo apt install google-cloud-sdk-local-extract
          

    • Untuk Red Hat/Fedora/CentOS:

      sudo dnf install google-cloud-sdk-local-extract
          

      Atau, Anda dapat mengganti dnf dengan yum dalam perintah sebelumnya.

15. Berikan peran IAM On-Demand Scanning Admin kepada akun pengguna atau layanan yang akan Anda gunakan dengan Pemindaian On-Demand. Jika menggunakan akun pemilik project untuk menjalankan pemindaian, Anda dapat melewati langkah ini.

Memindai image container

• Pemindaian lokal:

  gcloud artifacts docker images scan IMAGE_URI \
      [--location=(us,europe,asia)] [--async]
  

  Untuk image lokal, gunakan salah satu format berikut untuk IMAGE_URI:

  • REPOSITORY:TAG
  • REPOSITORY

• Pemindaian jarak jauh:

  gcloud artifacts docker images scan IMAGE_URI \
      --remote [--location=(us,europe,asia)] [--async]
  

  Untuk image jarak jauh, gunakan salah satu format berikut untuk IMAGE_URI:

  • HOSTNAME/PROJECT_ID/REPOSITORY_ID/IMAGE_ID@sha256:HASH
  • HOSTNAME/PROJECT_ID/REPOSITORY_ID/IMAGE_ID:HASH
  • HOSTNAME/PROJECT_ID/REPOSITORY_ID/IMAGE_ID
  • HOSTNAME/PROJECT_ID/IMAGE_ID@sha256:HASH
  • HOSTNAME/PROJECT_ID/IMAGE_ID:HASH
  • HOSTNAME/PROJECT_ID/IMAGE_ID

  Untuk image di Artifact Registry, IMAGE_URI harus menyertakan REPOSITORY_ID.

Untuk pemindaian lokal dan jarak jauh, Anda dapat menggunakan flag opsional berikut:

• --location adalah flag untuk memilih multi-region tempat pemindaian dilakukan secara manual. Memilih multi-region yang lebih dekat dengan lokasi fisik Anda akan meminimalkan latensi. Lokasi yang tersedia adalah: us, europe, dan asia. Lokasi defaultnya adalah us.

• --async adalah tanda untuk menjalankan proses pemindaian secara asinkron. Jika Anda menghilangkan tanda ini, terminal Anda akan diblokir hingga proses pemindaian selesai.

Pemindaian sinkron

Contoh berikut menunjukkan output pemindaian sinkron, tanpa tanda --async:

$ gcloud artifacts docker images scan ubuntu:latest


✓ Scanning container image
  ✓ Locally extracting packages and versions from local container image
  ✓ Remotely initiating analysis of packages and versions
  ✓ Waiting for analysis operation to complete [projects/my-project/locations/us/operations/87d2e137-1d1c-4790-8e5e-daf6c96ae7d7]
Done.
done: true
metadata:
  '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesMetadata
  createTime: '2021-01-05T23:03:04.185261Z'
  resourceUri: ubuntu:latest
name: projects/my-project/locations/us/operations/87d2e137-1d1c-4790-8e5e-daf6c96ae7d7
response:
  '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesResponse
  scan: projects/my-project/locations/us/scans/2fe2bfb8-f0c5-4dd6-a8c8-38961869767a

Gunakan nama pemindaian untuk mengambil hasil kerentanan. Nama pemindaian adalah nilai scan di baris terakhir pesan output.

Pemindaian asinkron

Contoh berikut menunjukkan output dari pemindaian asinkron:

$ gcloud artifacts docker images scan ubuntu:latest --async


✓ Scanning container image
  ✓ Locally extracting packages and versions from local container image
  ✓ Remotely initiating analysis of packages and versions
Done.
Check operation [projects/cloud-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16] for status.
metadata:
  '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesMetadata
  createTime: '2021-01-05T23:04:54.393510Z'
  resourceUri: ubuntu:latest
name: projects/my-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16

Tindakan ini akan meluncurkan operasi yang berjalan lama dan menampilkan ID-nya tanpa memblokir terminal Anda. Gunakan ID operasi, nilai name di baris terakhir pesan output, untuk melakukan polling pada operasi.

Jajak pendapat untuk menjalankan operasi yang berjalan lama

Gunakan ID operasi, dari output perintah pemindaian asinkron, untuk memeriksa status operasi.

gcloud artifacts docker images get-operation LRO_ID

Dengan LRO_ID adalah ID operasi yang berjalan lama.

Melanjutkan contoh bagian pemindaian asinkron, untuk memeriksa status operasi:

$ gcloud artifacts docker images get-operation \
  projects/cloud-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16

done: true
metadata:
  '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesMetadata
  createTime: '2021-01-05T23:04:54.393510Z'
  resourceUri: ubuntu:latest
name: projects/my-project/locations/us/operations/2e1a6b1f-16e5-4427-ac86-72c998a3dd16
response:
  '@type': type.googleapis.com/google.cloud.ondemandscanning.v1.AnalyzePackagesResponse
  scan: projects/my-project/locations/us/scans/2fe2bfb8-f0c5-4dd6-a8c8-38961869767a

Jika output menyertakan baris done: true, operasi pemindaian akan selesai. Gunakan nama pemindaian untuk mengambil hasil kerentanan Nama tersebut adalah nilai scan di baris terakhir pesan output

Mengambil hasil pemindaian

Untuk mengambil hasil pemindaian setelah operasi pemindaian selesai, gunakan perintah berikut:

gcloud artifacts docker images list-vulnerabilities SCAN_NAME [--limit=X]

Dengan keterangan:

• SCAN_NAME adalah nama pemindaian. Anda dapat menemukannya di bagian bawah output saat melakukan polling operasi yang berjalan lama, setelah pemindaian selesai.
• --limit=X adalah flag opsional yang membatasi jumlah kemunculan yang ditampilkan dalam output. X adalah nilai numerik.

Contoh:

gcloud artifacts docker images list-vulnerabilities \
projects/my-project/locations/us/scans/2fe2bfb8-f0c5-4dd6-a8c8-38961869767a

createTime: '2021-01-05T23:05:42.956227Z'
kind: VULNERABILITY
name: projects/my-project/locations/us/occurrences/f82a1efd-a261-4973-acbd-f9854d8b8135
noteName: projects/goog-vulnz/notes/CVE-2018-1000654
resourceUri: ubuntu:latest
updateTime: '2021-01-05T23:05:42.956227Z'
vulnerability:
  cvssScore: 7.1
  cvssv3:
    attackComplexity: ATTACK_COMPLEXITY_LOW
    attackVector: ATTACK_VECTOR_NETWORK
    availabilityImpact: IMPACT_HIGH
    baseScore: 7.2
    confidentialityImpact: IMPACT_HIGH
    exploitabilityScore: 1.2
    impactScore: 5.9
    integrityImpact: IMPACT_HIGH
    privilegesRequired: PRIVILEGES_REQUIRED_HIGH
    scope: SCOPE_UNCHANGED
    userInteraction: USER_INTERACTION_NONE
  effectiveSeverity: MEDIUM

Output perintah ini adalah daftar kemunculan dalam format Grafeas. Dalam hal ini, laporan menunjukkan kerentanan dengan tingkat keparahan sedang yang ditemukan dalam gambar.

Hasil pemindaian tersedia selama 48 jam setelah operasi pemindaian selesai.

Langkah berikutnya

• Gunakan On-Demand Scanning API di pipeline Cloud Build Anda.
• Gunakan Artifact Analysis untuk memindai dan terus memperbarui informasi kerentanan untuk image yang disimpan di Artifact Registry.