プロファイル適用性: レベル2
注: GCRは現在廃止され、2024年5月15日からArtifact Registryに置き換えられます。ランタイム脆弱性検索は、Google Container
Registry (GCR) またはArtifact Registry (AR) に保存されたイメージに対してGKEセキュリティ状態検索を通じて利用可能です。
ソフトウェアパッケージの脆弱性は、悪意のあるユーザによって悪用され、ローカルクラウドリソースへの不正アクセスを取得される可能性があります。GCR Container
Analysis APIまたはArtifact Registry Container Scanning APIは、それぞれGCRまたはARに保存されたイメージを既知の脆弱性についてスキャンすることを可能にします。
 |
注意デフォルトでは、GCRコンテナ分析とARコンテナスキャンは無効になっています。
|
監査
GCRでホストされているイメージの場合:
Google Cloud Consoleを使用する:
- Google Cloud ドキュメントにアクセスしてGCRに移動します。
- 設定を選択し、脆弱性スキャンが有効になっているか確認してください。
コマンドラインを使用する:
gcloud services list --enabled
Container Registry APIとContainer Analysis APIが出力にリストされていることを確認してください。
ARでホストされている画像の場合:
Google Cloud Consoleを使用する:
- Google Cloud ドキュメントにアクセスしてARに移動します。
- 設定を選択し、脆弱性スキャンが有効になっているか確認してください。
コマンドラインを使用する:
gcloud services list --enabled
出力にContainer Scanning APIとArtifact Registry APIがリストされていることを確認してください。
修復
GCRでホストされているイメージの場合:
Google Cloud Consoleを使用する:
- Google Cloud ドキュメントにアクセスしてGCRに移動します。
- 設定を選択し、脆弱性スキャンの項目の下にあるオンにするボタンをクリックしてください。
コマンドラインを使用する:
gcloud services enable containeranalysis.googleapis.com
ARでホストされている画像の場合:
Google Cloud Consoleを使用する:
- Google Cloud ドキュメントにアクセスしてGCRに移動します。
- 設定を選択し、脆弱性スキャンの項目の下にある有効にするボタンをクリックしてください。
コマンドラインを使用する:
gcloud services enable containerscanning.googleapis.com