和 Artifact Registry 原生集成(push 镜像自动扫)
只扫已知 CVE,对 0day 无帮助
启用 Artifact Registry API + Container Analysis API。push 镜像到 Artifact Registry 后自动扫。GET /v1/projects/{project}/notes/{note} 查结果。
可用率 · 30 天窗口
关于这个 API
Container Analysis 是 GCP 容器供应链安全栈的核心。任何 push 到 Artifact Registry 的镜像都会被自动扫——分析 base layer 用的 OS、安装的包、检测已知 CVE。结果存进 Container Analysis 的 "occurrences" 里,可以 query 或者通过 Pub/Sub 推送。这套数据可以接到 CI/CD:CI 在部署前调 API 查"这个镜像有没有 critical CVE",有就 fail。配合 Binary Authorization 还能做更严格的 policy——只有经过 attestor 签名(如安全团队的 attestation)的镜像才能部署到 GKE。是 SLSA、SBOM 等供应链安全标准的核心实现。
你可以做什么
- 1集成 CI/CD 检查镜像漏洞自动 block 部署
- 2生成软件物料清单(SBOM)
- 3Binary Authorization 部署前签名验证
- 4合规审计
优劣对比
优点
- 和 Artifact Registry 原生集成(push 镜像自动扫)
- 基于 CVE 数据库(NVD + 多个商业源)
- 配合 Binary Authorization 做 supply chain 安全
注意事项
- 只扫已知 CVE,对 0day 无帮助
- 低代码层应用(如某些游戏引擎)扫描覆盖不全
示例请求
curl https://google.com/<endpoint>快速开始
启用 Artifact Registry API + Container Analysis API。push 镜像到 Artifact Registry 后自动扫。GET /v1/projects/{project}/notes/{note} 查结果。
常见问题
扫描多久完成?+
小镜像几分钟,复杂镜像(数百 MB + 多个 OS 包)可能 10-20 分钟。
CVE 数据源是什么?+
NVD(公开 CVE 数据库)+ Distroless / Ubuntu / Debian / Alpine 各发行版的官方安全公告 + 部分商业源。
技术细节
- 认证方式
- unknown
- 计费
- unknown
- 协议
- REST
- SDK
- python, javascript, go, java
- 响应时间
- 41 ms
- 上次巡检
- 2026/5/12 07:37:30
更多来自 Google 的 API
Google Workspace Admin SDK API 程序化管理 Workspace 组织:用户、组、设备、域名、审计日志、组织单元。
AdMob API 可读取 accounts、apps、adUnits 与 adSources,并生成 mediation 与 network 报表。
AdSense Host API 支持 accounts、adclients、adunits、reports 和 adcode 生成,适合托管式广告平台集成。
Apigee API 可管理 API proxy、deployments、attributes 与 organizations,适合把 API 网关运维接入自动化流程。
Google BigQuery API 是 GCP 旗舰数据仓库的 REST 接口:执行 SQL 查询、管理 datasets/tables、流式插入、ML 内置。
Binary Authorization API 用于管理 attestors、IAM policy 与镜像验证流程,面向 GKE 和 Anthos 的发布门禁。
Business Profile Performance API 能拉取 location 指标时间序列和 search keyword impressions,服务 Google 商家资料分析。
Google Calendar API 让应用程序化创建、读取、更新日历事件,是日程类应用最常用的集成。