プロファイルの適用性: レベル2
 |
注意GCRは現在廃止されており、2024年5月15日からArtifact Registryに置き換えられます。ランタイム脆弱性スキャンはGKEセキュリティ状態を通じて利用可能です。
|
Google Container Registry (GCR) またはArtifact Registry (AR) に保存されているイメージを脆弱性のためにスキャンします。
ソフトウェアパッケージの脆弱性は、悪意のあるユーザによって利用され、ローカルクラウドリソースへの不正アクセスを取得される可能性があります。GCR Container
Analysis APIまたはArtifact Registry Container Scanning APIは、それぞれGCRまたはARに保存されたイメージを既知の脆弱性についてスキャンすることを可能にします。
|
注意デフォルトでは、GCRコンテナ分析とARコンテナスキャンは無効になっています。
|
監査
GCRでホストされているイメージの場合:
Google Cloud Consoleを使用する:
- GCRウェブサイトにアクセスしてください。
- 設定を選択し、
脆弱性スキャンが有効になっているか確認してください。
コマンドラインの使用:
gcloud services list --enabled
Container Registry APIとContainer Analysis APIが出力にリストされていることを確認してください。ARでホストされている画像の場合:
Google Cloud Consoleを使用する:
- ARウェブサイトにアクセスしてください。
- 設定を選択し、
脆弱性スキャンが有効になっているか確認してください。
コマンドラインの使用:
gcloud services list --enabled
Container Scanning APIとArtifact Registry APIが出力にリストされていることを確認してください。修復
GCRでホストされているイメージの場合:
Google Cloud Consoleを使用する:
- GCRウェブサイトにアクセスしてください。
- 脆弱性スキャンの見出しの下にある設定を選択し、オンにするボタンをクリックします。
コマンドラインの使用:
gcloud services enable containeranalysis.googleapis.com
ARでホストされている画像の場合:
Google Cloud Consoleを使用する:
- ARウェブサイトにアクセスしてください。
- 設定を選択し、脆弱性スキャンの項目で有効にするボタンをクリックしてください。
コマンドラインの使用:
gcloud services enable containerscanning.googleapis.com