Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
Artifact Analysis es una familia de servicios que proporcionan análisis de composición de software, almacenamiento y recuperación de metadatos. Sus puntos de detección están integrados en varios productos, como Google Cloud Artifact Registry y Google Kubernetes Engine (GKE), para que se puedan habilitar rápidamente. El servicio funciona con los productos propios de Google Cloudy también te permite almacenar información de fuentes de terceros. Los servicios de análisis usan un almacén de vulnerabilidades común para comparar los archivos con las vulnerabilidades conocidas.
Este servicio antes se llamaba "Container Analysis". El nuevo nombre no cambia los productos ni las APIs actuales, sino que refleja la creciente gama de funciones del producto más allá de los contenedores.
Imagen 1. Diagrama que muestra cómo Análisis de artefactos crea metadatos e interactúa con ellos en entornos de origen, compilación, almacenamiento, implementación y tiempo de ejecución.
Análisis del registro
En esta sección se describen las funciones de análisis de vulnerabilidades de Artifact Analysis basadas en Artifact Registry y se enumeran los productos relacionados en los que puede habilitar funciones complementarias para mejorar su seguridad. Google Cloud
Análisis automático en Artifact Registry
El proceso de análisis se activa automáticamente cada vez que envías una imagen nueva a Artifact Registry.
La información sobre vulnerabilidades se actualiza continuamente cuando se descubren nuevas vulnerabilidades. Artifact Registry incluye el análisis de paquetes de lenguaje de aplicaciones. Para empezar, habilita la búsqueda automática.
Gestión de riesgos centralizada con Security Command Center
Security Command Center centraliza la seguridad en la nube y ofrece análisis de vulnerabilidades, detección de amenazas, monitorización de la postura y gestión de datos.
Security Command Center agrega los resultados de vulnerabilidades de los análisis de Artifact Registry, lo que te permite ver las vulnerabilidades de las imágenes de contenedor en tus cargas de trabajo en ejecución, en todos los proyectos, junto con otros riesgos de seguridad en Security Command Center. También puede exportar estos hallazgos a BigQuery para hacer análisis detallados y almacenarlos a largo plazo.
Para obtener más información, consulta Evaluación de vulnerabilidades de Artifact Registry.
Análisis de vulnerabilidades de cargas de trabajo de GKE (nivel estándar)
.
Como parte del panel de control de la postura de seguridad de GKE, el análisis de vulnerabilidades de las cargas de trabajo permite detectar vulnerabilidades del SO de las imágenes de contenedor. El análisis es gratuito y se puede habilitar por clúster. Los resultados se pueden consultar en el panel de control de postura de seguridad.
Análisis de vulnerabilidades de cargas de trabajo de GKE: información valiosa sobre vulnerabilidades avanzadas
Además del análisis básico del SO de los contenedores, los usuarios de GKE pueden actualizar a Advanced Vulnerability Insights para aprovechar la detección continua de vulnerabilidades de paquetes de lenguaje. Debes habilitar manualmente esta función en tus clústeres. Después, recibirás los resultados de las vulnerabilidades del SO y del paquete de idioma. Consulta más información sobre el análisis de vulnerabilidades en cargas de trabajo de GKE.
Búsqueda bajo demanda
Este servicio no es continuo, sino que debes ejecutar un comando para iniciar el análisis manualmente. Los resultados del análisis están disponibles hasta 48 horas después de que se complete. La información sobre vulnerabilidades no se actualiza después de que finalice el análisis. Puedes analizar imágenes almacenadas de forma local sin tener que enviarlas primero a Artifact Registry o a los tiempos de ejecución de GKE. Para obtener más información, consulta la sección sobre análisis bajo demanda.
Acceder a los metadatos
Artifact Analysis es un componente de Google Cloud infraestructura
que te permite almacenar y recuperar metadatos estructurados de Google Cloudrecursos. En varias fases del proceso de lanzamiento, las personas o los sistemas automatizados pueden añadir metadatos que describan el resultado de una actividad. Por ejemplo, puedes añadir metadatos a tu imagen para indicar que ha superado un conjunto de pruebas de integración o un análisis de vulnerabilidades.
Con Artifact Analysis integrado en tu canalización de CI/CD, puedes tomar decisiones basadas en metadatos. Por ejemplo, puedes usar la autorización binaria para crear políticas de despliegue que solo permitan los despliegues de imágenes conformes de registros de confianza.
Análisis de artefactos asocia metadatos a imágenes mediante notas y apariciones. Para obtener más información sobre estos conceptos, consulta la página de gestión de metadatos.
Para obtener información sobre los costes de las funciones de Artifact Analysis, consulta los precios de Artifact Analysis.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-08-21 (UTC)."],[[["\u003cp\u003eArtifact Analysis provides software composition analysis, metadata storage, and retrieval, integrating with Google Cloud products like Artifact Registry and GKE.\u003c/p\u003e\n"],["\u003cp\u003eThe service offers automatic scanning of images pushed to Artifact Registry or Container Registry, continuously updating vulnerability information, as well as on-demand scanning for locally stored images.\u003c/p\u003e\n"],["\u003cp\u003eGKE users can utilize free workload vulnerability scanning for container image OS vulnerabilities via the security posture dashboard, or upgrade to advanced vulnerability insights for language package vulnerability detection.\u003c/p\u003e\n"],["\u003cp\u003eArtifact Analysis allows users to store and retrieve structured metadata for Google Cloud resources, enabling the creation of deployment policies based on image compliance.\u003c/p\u003e\n"],["\u003cp\u003eContainer Registry is deprecated and scheduled for shutdown, with newer features only available for Artifact Registry, which also now hosts new \u003ccode\u003egcr.io\u003c/code\u003e repositories.\u003c/p\u003e\n"]]],[],null,["# Artifact Analysis overview\n\nArtifact Analysis is a family of services that provide software\ncomposition analysis, metadata storage and retrieval. Its detection points are\nbuilt into a number of Google Cloud products such as Artifact Registry and\nGoogle Kubernetes Engine (GKE) for quick enablement. The service works with\nboth Google Cloud's first-party products and also lets you store\ninformation from third-party sources. The scanning services use a common\nvulnerability store for matching files against known vulnerabilities.\n\nThis service was formerly known as Container Analysis. The new name does not\nchange existing products or APIs, but reflects the product's expanding range of\nfeatures beyond containers.\n\n**Figure 1.** Diagram that shows Artifact Analysis creating and interacting\nwith metadata across source, build, storage, deployment and runtime\nenvironments.\n\nRegistry scanning\n-----------------\n\nThis section outlines Artifact Analysis vulnerability scanning\nfeatures based in Artifact Registry, and lists related Google Cloud\nproducts where you can enable complementary capabilities to support your\nsecurity posture.\n\n### Automatic scanning in Artifact Registry\n\n- The scanning process is triggered automatically every time you push a new image to Artifact Registry. The vulnerability information is continuously updated when new vulnerabilities are discovered. Artifact Registry includes application language package scanning. To get started, enable [automatic scanning](/artifact-analysis/docs/os-overview).\n\n### Centralized risk management with Security Command Center\n\n|\n| **Preview**\n|\n|\n| This product or feature is subject to the \"Pre-GA Offerings Terms\" in the General Service Terms section\n| of the [Service Specific Terms](/terms/service-terms#1).\n|\n| Pre-GA products and features are available \"as is\" and might have limited support.\n|\n| For more information, see the\n| [launch stage descriptions](/products#product-launch-stages).\n\n- Security Command Center centralizes your cloud security, offering vulnerability scanning, threat detection, posture monitoring, and data management. Security Command Center aggregates vulnerability findings from Artifact Registry scans, allowing you to view container image vulnerabilities within your running workloads, across all projects alongside your other security risks in Security Command Center. You can also export these findings to BigQuery for in-depth analysis and long-term storage. For more information, see [Artifact Registry vulnerability assessment](/security-command-center/docs/concepts-security-sources#ar-vuln-assessment).\n\n### GKE workload vulnerability scanning - standard tier\n\n| **Caution:** Starting on July 23, 2024, standard tier/container OS vulnerability scanning is deprecated and is scheduled for shutdown on July 31, 2025. For more information about deprecation and shutdown dates, see [Vulnerability scanning removal from GKE](/kubernetes-engine/docs/deprecations/vulnerability-scanning-gkee).\n\n- As part of GKE security posture dashboard, workload vulnerability scanning provides detection of container image OS vulnerabilities. Scanning is free and can be enabled per cluster. Results are available to view in the [security posture dashboard](/kubernetes-engine/docs/concepts/about-security-posture-dashboard).\n\n### GKE workload vulnerability scanning - advanced vulnerability insights\n\n| **Caution:** Starting on June 16, 2025 Advanced Vulnerability Insights is deprecated and is scheduled for shutdown on June 16, 2026 as part of the deprecation of various GKE security posture dashboard features. For more information about deprecation and shutdown dates, see [Vulnerability\n| scanning removal from GKE](/kubernetes-engine/docs/deprecations/vulnerability-scanning-gkee).\n\n- In addition to basic container OS scanning, GKE users can upgrade to *advanced vulnerability insights* to take advantage of continual language package vulnerability detection. You must manually enable this feature on your clusters, after which you'll receive OS and language package vulnerability results. Learn more about [vulnerability scanning in GKE workloads](/kubernetes-engine/docs/how-to/security-posture-vulnerability-scanning).\n\nOn-Demand scanning\n------------------\n\n- This service is not continual; you must run a command to manually initiate the scan. Scan results are available up to 48 hours after the scan is completed. The vulnerability information is not updated after the scan is finished. You can scan images stored locally, without having to push them to Artifact Registry or GKE runtimes first. To learn more, see [on-demand scanning](/artifact-analysis/docs/os-scanning-on-demand).\n\nAccess metadata\n---------------\n\n- Artifact Analysis is a Google Cloud infrastructure\n component that lets you\n [store and retrieve structured metadata](/artifact-analysis/docs/metadata-management-overview) for Google Cloud\n resources. At various phases of your release process, people or automated\n systems can add metadata that describes the result of an activity. For\n example, you can add metadata to your image indicating that the image has\n passed an integration test suite or a vulnerability scan.\n\n- With Artifact Analysis integrated into your CI/CD pipeline, you\n can make decisions based on metadata. For example, you can use\n [Binary Authorization](/binary-authorization/docs) to create deployment policies\n that only allow deployments for compliant images from trusted registries.\n\n- Artifact Analysis associates metadata with images through **notes** and\n **occurrences** . To learn more about these concepts, see the\n [metadata management page](/artifact-analysis/docs/metadata-management-overview).\n\nTo learn about the costs for Artifact Analysis features, see\n[Artifact Analysis pricing](/artifact-analysis/pricing).\n\nWhat's next\n-----------\n\n- [Get started with automatic scanning](/artifact-analysis/docs/quickstart-scanning-os-automatically).\n- [Get started with On-Demand Scanning](/artifact-analysis/docs/quickstart-scanning-os-manually).\n- Learn more about [scanning concepts](/artifact-analysis/docs/container-scanning-overview).\n- Learn more about [supported metadata types](/artifact-analysis/docs/metadata-management-overview)."]]
