プロファイル適用性: レベル2
 |
注意GCRは廃止され、2024年5月15日からArtifact Registryに置き換えられます。ランタイム脆弱性スキャンはGKEセキュリティ状態を通じて利用可能です。
|
Google Container Registry (GCR) またはArtifact Registry (AR) に保存されているイメージを脆弱性のために検索します。
ソフトウェアパッケージの脆弱性は、悪意のあるユーザによって悪用され、ローカルクラウドリソースへの不正アクセスを取得される可能性があります。GCR Container
Analysis APIまたはArtifact Registry Container Scanning APIは、それぞれGCRまたはARに保存されているイメージを既知の脆弱性についてスキャンすることを可能にします。
|
注意デフォルトでは、GCRコンテナ分析とARコンテナスキャンは無効になっています。
|
監査
GCRでホストされているイメージの場合:
Google Cloud Consoleを使用する
- GCRウェブサイトに移動します。
- 設定を選択し、
Vulnerability scanningが有効になっているか確認してください。
コマンドラインを使用:
gcloud services list --enabled
Container Registry APIとContainer Analysis APIが出力にリストされていることを確認してください。ARでホストされている画像の場合:
Google Cloud Consoleを使用する
- ARウェブサイトにアクセスしてください。
- 設定を選択し、
Vulnerability scanningが有効になっているか確認してください。
コマンドラインを使用:
gcloud services list --enabled
Container Scanning APIとArtifact Registry APIが出力にリストされていることを確認してください。修復
GCRでホストされているイメージの場合:
Google Cloud Consoleを使用する
- GCRウェブサイトに移動します。
- 脆弱性スキャンの見出しの下にある設定を選択し、オンにするボタンをクリックします。
コマンドラインを使用:
gcloud services enable containeranalysis.googleapis.com
ARでホストされている画像の場合:
Google Cloud Consoleを使用する
- ARウェブサイトにアクセスしてください。
- 設定を選択し、脆弱性スキャンの見出しの下にある有効にするボタンをクリックします。
コマンドラインを使用:
gcloud services enable containerscanning.googleapis.com