Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Artifact Analysis est une famille de services qui fournit une analyse de la composition logicielle, ainsi que le stockage et la récupération de métadonnées. Ses points de détection sont intégrés à plusieurs produits Google Cloud , comme Artifact Registry et Google Kubernetes Engine (GKE), pour une activation rapide. Le service fonctionne avec les produits propriétaires de Google Cloudet vous permet également de stocker les informations à partir de sources tierces. Les services d'analyse utilisent un store de failles courantes pour repérer les failles connues dans les fichiers.
Ce service s'appelait auparavant "Container Analysis". Le nouveau nom ne modifie pas les produits ni les API existants, mais reflète la gamme de fonctionnalités du produit qui s'étend au-delà des conteneurs.
Figure 1 : Diagramme montrant Artifact Analysis en train de créer des métadonnées et d'interagir avec elles dans les environnements source, de compilation, de stockage, de déploiement et d'exécution.
Analyse du registre
Cette section décrit les fonctionnalités d'analyse des failles d'Artifact Analysis dans Artifact Registry et liste les produits Google Cloudassociés dans lesquels vous pouvez activer des fonctionnalités complémentaires pour renforcer votre sécurité.
Analyse automatique dans Artifact Registry
Le processus d'analyse est déclenché automatiquement chaque fois que vous envoyez une nouvelle image vers Artifact Registry.
Les informations sur les failles sont mises à jour en continu lorsque de nouvelles failles sont découvertes. Artifact Registry inclut l'analyse des packages de langage d'application. Pour commencer, activez l'analyse automatique.
Gestion centralisée des risques avec Security Command Center
Security Command Center centralise la sécurité de votre cloud en proposant l'analyse des failles, la détection des menaces, la surveillance de la posture et la gestion des données.
Security Command Center agrège les résultats d'analyse des failles d'Artifact Registry, ce qui vous permet d'afficher les failles des images de conteneurs dans vos charges de travail en cours d'exécution, dans tous les projets, en même temps que vos autres risques de sécurité dans Security Command Center. Vous pouvez également exporter ces résultats vers BigQuery pour une analyse approfondie et un stockage à long terme.
Pour en savoir plus, consultez Évaluation des failles d'Artifact Registry.
Analyse des failles des charges de travail GKE – Niveau standard
L'analyse des failles des charges de travail, qui fait partie du tableau de bord de stratégie de sécurité GKE, permet de détecter les failles de l'OS des images de conteneur. L'analyse est gratuite et peut être activée par cluster. Les résultats sont disponibles dans le tableau de bord de stratégie de sécurité.
Analyse des failles des charges de travail GKE : Advanced Vulnerability Insights
En plus de l'analyse de base de l'OS des conteneurs, les utilisateurs GKE peuvent passer à Advanced Vulnerability Insights pour profiter de la détection continue des failles des modules linguistiques. Vous devez activer manuellement cette fonctionnalité sur vos clusters. Vous recevrez ensuite les résultats de l'analyse des failles du système d'exploitation et des packages de langage. En savoir plus sur l'analyse des failles dans les charges de travail GKE
On-Demand Scanning
Ce service n'est pas continu. Vous devez exécuter une commande pour lancer manuellement l'analyse. Les résultats de l'analyse sont disponibles jusqu'à 48 heures après la fin de l'analyse. Les informations sur les failles ne sont pas mises à jour une fois l'analyse terminée. Vous pouvez analyser les images stockées localement, sans avoir à les transférer d'abord vers Artifact Registry ou les runtimes GKE. Pour en savoir plus, consultez Analyse à la demande.
Accéder aux métadonnées
Artifact Analysis est un composant d'infrastructure Google Cloud qui vous permet de stocker et de récupérer des métadonnées structurées pour les ressources Google Cloud. À différentes étapes de votre processus de publication, des personnes ou des systèmes automatisés peuvent ajouter des métadonnées décrivant le résultat d'une activité. Par exemple, vous pouvez ajouter à une image des métadonnées indiquant qu'elle a réussi une suite de tests d'intégration ou une analyse des failles.
Avec Artifact Analysis intégré à votre pipeline CI/CD, vous pouvez prendre des décisions basées sur les métadonnées. Par exemple, vous pouvez utiliser l'autorisation binaire pour créer des stratégies de déploiement qui n'autorisent que les déploiements d'images conformes provenant de registres de confiance.
Artifact Analysis associe des métadonnées à des images à l'aide de notes et d'occurrences. Pour en savoir plus sur ces concepts, consultez la page Gestion des métadonnées.
Pour en savoir plus sur les coûts des fonctionnalités d'Artifact Analysis, consultez la page Tarifs d'Artifact Analysis.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/09 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/09 (UTC)."],[[["\u003cp\u003eArtifact Analysis provides software composition analysis, metadata storage, and retrieval, integrating with Google Cloud products like Artifact Registry and GKE.\u003c/p\u003e\n"],["\u003cp\u003eThe service offers automatic scanning of images pushed to Artifact Registry or Container Registry, continuously updating vulnerability information, as well as on-demand scanning for locally stored images.\u003c/p\u003e\n"],["\u003cp\u003eGKE users can utilize free workload vulnerability scanning for container image OS vulnerabilities via the security posture dashboard, or upgrade to advanced vulnerability insights for language package vulnerability detection.\u003c/p\u003e\n"],["\u003cp\u003eArtifact Analysis allows users to store and retrieve structured metadata for Google Cloud resources, enabling the creation of deployment policies based on image compliance.\u003c/p\u003e\n"],["\u003cp\u003eContainer Registry is deprecated and scheduled for shutdown, with newer features only available for Artifact Registry, which also now hosts new \u003ccode\u003egcr.io\u003c/code\u003e repositories.\u003c/p\u003e\n"]]],[],null,["# Artifact Analysis overview\n\nArtifact Analysis is a family of services that provide software\ncomposition analysis, metadata storage and retrieval. Its detection points are\nbuilt into a number of Google Cloud products such as Artifact Registry and\nGoogle Kubernetes Engine (GKE) for quick enablement. The service works with\nboth Google Cloud's first-party products and also lets you store\ninformation from third-party sources. The scanning services use a common\nvulnerability store for matching files against known vulnerabilities.\n\nThis service was formerly known as Container Analysis. The new name does not\nchange existing products or APIs, but reflects the product's expanding range of\nfeatures beyond containers.\n\n**Figure 1.** Diagram that shows Artifact Analysis creating and interacting\nwith metadata across source, build, storage, deployment and runtime\nenvironments.\n\nRegistry scanning\n-----------------\n\nThis section outlines Artifact Analysis vulnerability scanning\nfeatures based in Artifact Registry, and lists related Google Cloud\nproducts where you can enable complementary capabilities to support your\nsecurity posture.\n\n### Automatic scanning in Artifact Registry\n\n- The scanning process is triggered automatically every time you push a new image to Artifact Registry. The vulnerability information is continuously updated when new vulnerabilities are discovered. Artifact Registry includes application language package scanning. To get started, enable [automatic scanning](/artifact-analysis/docs/os-overview).\n\n### Centralized risk management with Security Command Center\n\n|\n| **Preview**\n|\n|\n| This product or feature is subject to the \"Pre-GA Offerings Terms\" in the General Service Terms section\n| of the [Service Specific Terms](/terms/service-terms#1).\n|\n| Pre-GA products and features are available \"as is\" and might have limited support.\n|\n| For more information, see the\n| [launch stage descriptions](/products#product-launch-stages).\n\n- Security Command Center centralizes your cloud security, offering vulnerability scanning, threat detection, posture monitoring, and data management. Security Command Center aggregates vulnerability findings from Artifact Registry scans, allowing you to view container image vulnerabilities within your running workloads, across all projects alongside your other security risks in Security Command Center. You can also export these findings to BigQuery for in-depth analysis and long-term storage. For more information, see [Artifact Registry vulnerability assessment](/security-command-center/docs/concepts-security-sources#ar-vuln-assessment).\n\n### GKE workload vulnerability scanning - standard tier\n\n| **Caution:** Starting on July 23, 2024, standard tier/container OS vulnerability scanning is deprecated and is scheduled for shutdown on July 31, 2025. For more information about deprecation and shutdown dates, see [Vulnerability scanning removal from GKE](/kubernetes-engine/docs/deprecations/vulnerability-scanning-gkee).\n\n- As part of GKE security posture dashboard, workload vulnerability scanning provides detection of container image OS vulnerabilities. Scanning is free and can be enabled per cluster. Results are available to view in the [security posture dashboard](/kubernetes-engine/docs/concepts/about-security-posture-dashboard).\n\n### GKE workload vulnerability scanning - advanced vulnerability insights\n\n| **Caution:** Starting on June 16, 2025 Advanced Vulnerability Insights is deprecated and is scheduled for shutdown on June 16, 2026 as part of the deprecation of various GKE security posture dashboard features. For more information about deprecation and shutdown dates, see [Vulnerability\n| scanning removal from GKE](/kubernetes-engine/docs/deprecations/vulnerability-scanning-gkee).\n\n- In addition to basic container OS scanning, GKE users can upgrade to *advanced vulnerability insights* to take advantage of continual language package vulnerability detection. You must manually enable this feature on your clusters, after which you'll receive OS and language package vulnerability results. Learn more about [vulnerability scanning in GKE workloads](/kubernetes-engine/docs/how-to/security-posture-vulnerability-scanning).\n\nOn-Demand scanning\n------------------\n\n- This service is not continual; you must run a command to manually initiate the scan. Scan results are available up to 48 hours after the scan is completed. The vulnerability information is not updated after the scan is finished. You can scan images stored locally, without having to push them to Artifact Registry or GKE runtimes first. To learn more, see [on-demand scanning](/artifact-analysis/docs/os-scanning-on-demand).\n\nAccess metadata\n---------------\n\n- Artifact Analysis is a Google Cloud infrastructure\n component that lets you\n [store and retrieve structured metadata](/artifact-analysis/docs/metadata-management-overview) for Google Cloud\n resources. At various phases of your release process, people or automated\n systems can add metadata that describes the result of an activity. For\n example, you can add metadata to your image indicating that the image has\n passed an integration test suite or a vulnerability scan.\n\n- With Artifact Analysis integrated into your CI/CD pipeline, you\n can make decisions based on metadata. For example, you can use\n [Binary Authorization](/binary-authorization/docs) to create deployment policies\n that only allow deployments for compliant images from trusted registries.\n\n- Artifact Analysis associates metadata with images through **notes** and\n **occurrences** . To learn more about these concepts, see the\n [metadata management page](/artifact-analysis/docs/metadata-management-overview).\n\nTo learn about the costs for Artifact Analysis features, see\n[Artifact Analysis pricing](/artifact-analysis/pricing).\n\nWhat's next\n-----------\n\n- [Get started with automatic scanning](/artifact-analysis/docs/quickstart-scanning-os-automatically).\n- [Get started with On-Demand Scanning](/artifact-analysis/docs/quickstart-scanning-os-manually).\n- Learn more about [scanning concepts](/artifact-analysis/docs/container-scanning-overview).\n- Learn more about [supported metadata types](/artifact-analysis/docs/metadata-management-overview)."]]
