Artifact Registry помогает повысить уровень безопасности ваших контейнерных приложений за счет своевременного выявления уязвимостей в Docker-образов, загруженных в реестр.
Эта функция входит в тарифный план «Премиум». Тарифный план включается для каждого реестра в отдельности.
В тарифном плане «Базовый» функция недоступна.
Сканер уязвимостей
Сканер сравнивает версии установленных пакетов Docker-образа с базами уязвимостей CVE и формирует отчет о найденных уязвимостях.
Страница с отчетом находится в личном кабинете в разделе Artifact Registry → Реестры → <название_реестра> → Репозитории → <название_репозитория> → <название_образа> → Уязвимости.
Страница отображается, если для реестра подключен тарифный план «Премиум». При переходе на тарифный план «Базовый» отчет становится недоступным.
Сканирование запускается автоматически при загрузке образа в реестр Artifact Registry, включении тарифа «Премиум» а также проводится ежедневно для всех ранее загруженных Docker-образов.
Сервис Artifact Registry не поддерживает сканирование:
-
манифестов образа;
-
helm-чартов;
-
Docker-образов для ОС Windows.
Сканируются образы размером до 10 ГБ. Размер каждого слоя образа не должен превышать 10 ГБ.
Карантин для образов с уязвимостями
Образы с уязвимостями, отправленные в карантин, становятся недоступны для скачивания (pull).
Такие образы нельзя использовать для развертывания контейнеров в сервисе Container Apps.
Образы, у которых выявлены уязвимости, отправляются в карантин, если было выбрано соответствующее правило для реестра:
-
Critical — в карантин отправляются только образы с критическим уровнем уязвимости.
-
High — в карантин отправляются образы с высоким уровнем уязвимости и выше.
-
Medium — в карантин отправляются образы со средним уровнем уязвимости и выше.
-
Low — в карантин отправляются образы с низким уровнем уязвимости и выше.
Правило карантина настраивается в разделе Artifact Registry → Реестры → <название_реестра> → Карантин.
Если при настройке правила карантина установить параметр «Отсутствует», то образы с уязвимостями любого уровня не будут отправляться в карантин и останутся доступны для скачивания.
При смене тарифного плана на «Базовый» образы, находящиеся в карантине, станут доступны для скачивания.
Статус карантина для образа отображается в разделе Artifact Registry → Реестры → <название_реестра> → Репозитории → <название_репозитория> → <название_образа> → Информация → Карантин.
- Сканер уязвимостей
- Карантин для образов с уязвимостями