Artifact Registry に保存したコンテナイメージに対して、プッシュされるたびに自動的に脆弱性スキャンを実行したいと考えています。最も適切なサービスはどれですか?
- A. Cloud Run のデプロイ時にスキャンオプションを設定する
- B. Cloud Build でスキャンステップを cloudbuild.yaml に追加する
- C. Cloud Scheduler で定期的に trivy スキャンを実行する Cloud Functions をトリガーする
- D. Artifact Registry の自動スキャン機能(Container Analysis)を有効にする
解答と解説を見る
正解: D
Artifact Registry では Container Analysis(Container Scanning API)を有効にすると、コンテナイメージがプッシュされるたびに自動的に OS パッケージとコードの脆弱性がスキャンされます。脆弱性の結果は Artifact Registry コンソールや API で確認できます。Cloud Build でのスキャンは有効ですが、Artifact Registry のネイティブ機能を使う方が設定が簡単で確実です。Cloud Run のデプロイ時スキャンオプションは標準機能として提供されていません。Cloud Scheduler + Cloud Functions によるスキャンは定期的なスキャンであり、プッシュごとのリアルタイムスキャンを実現するにはイベントドリブンな設定が必要です。
📚 関連サービスの解説: Artifact Registry