A análise de artefactos é uma família de serviços que oferece análise de composição de software, armazenamento e obtenção de metadados. Os respetivos pontos de deteção estão integrados num número de produtos, como o Artifact Registry e o Google Kubernetes Engine (GKE), para uma ativação rápida. Google Cloud O serviço funciona com os produtos originais da Google e também permite armazenar informações de fontes de terceiros. Google CloudOs serviços de análise usam um repositório de vulnerabilidades comum para fazer a correspondência de ficheiros com vulnerabilidades conhecidas.
Anteriormente, este serviço era conhecido como Análise de contentor. O novo nome não altera os produtos nem as APIs existentes, mas reflete a gama crescente de funcionalidades do produto além dos contentores.
Figura 1. Diagrama que mostra a análise de artefactos a criar e interagir com metadados em ambientes de origem, compilação, armazenamento, implementação e tempo de execução.
Análise da base de dados de registo
Esta secção descreve as funcionalidades de análise de vulnerabilidades da análise de artefactos baseadas no Artifact Registry e lista os produtos relacionados onde pode ativar capacidades complementares para suportar a sua postura de segurança. Google Cloud
Análise automática no Artifact Registry
- O processo de análise é acionado automaticamente sempre que envia uma nova imagem para o Artifact Registry. As informações sobre vulnerabilidades são atualizadas continuamente quando são descobertas novas vulnerabilidades. O Artifact Registry inclui a análise de pacotes de linguagem de aplicações. Para começar, ative a análise automática.
Gestão de riscos centralizada com o Security Command Center
- O Security Command Center centraliza a sua segurança na nuvem, oferecendo análise de vulnerabilidades, deteção de ameaças, monitorização da postura e gestão de dados. O Security Command Center agrega as conclusões de vulnerabilidades das análises do Artifact Registry, o que lhe permite ver as vulnerabilidades das imagens de contentores nas suas cargas de trabalho em execução, em todos os projetos, juntamente com os outros riscos de segurança no Security Command Center. Também pode exportar estas conclusões para o BigQuery para análise detalhada e armazenamento a longo prazo. Para mais informações, consulte a avaliação de vulnerabilidades do Artifact Registry.
Análise de vulnerabilidades de cargas de trabalho do GKE – Nível padrão
- Como parte do painel de controlo da postura de segurança do GKE, a análise de vulnerabilidades da carga de trabalho oferece a deteção de vulnerabilidades do SO da imagem do contentor. A análise é gratuita e pode ser ativada por cluster. Os resultados estão disponíveis para visualização no painel de controlo da postura de segurança.
Análise de vulnerabilidades de cargas de trabalho do GKE: Advanced Vulnerability Insights
- Além da análise básica do SO do contentor, os utilizadores do GKE podem atualizar para estatísticas de vulnerabilidades avançadas para tirar partido da deteção contínua de vulnerabilidades de pacotes de idiomas. Tem de ativar manualmente esta funcionalidade nos seus clusters. Depois disso, recebe resultados de vulnerabilidades de pacotes de SO e de idioma. Saiba mais acerca da análise de vulnerabilidades em cargas de trabalho do GKE.
Análise a pedido
- Este serviço não é contínuo. Tem de executar um comando para iniciar manualmente a análise. Os resultados da análise estão disponíveis até 48 horas após a conclusão da análise. As informações de vulnerabilidade não são atualizadas após a conclusão da análise. Pode analisar imagens armazenadas localmente sem ter de as enviar primeiro para o Artifact Registry ou os tempos de execução do GKE. Para saber mais, consulte a secção Análise a pedido.
Aceda aos metadados
A análise de artefactos é um componente de Google Cloud infraestrutura que lhe permite armazenar e obter metadados estruturados para Google Cloudrecursos. Em várias fases do processo de lançamento, as pessoas ou os sistemas automatizados podem adicionar metadados que descrevem o resultado de uma atividade. Por exemplo, pode adicionar metadados à sua imagem a indicar que a imagem passou num conjunto de testes de integração ou numa análise de vulnerabilidades.
Com a análise de artefactos integrada no pipeline de CI/CD, pode tomar decisões com base em metadados. Por exemplo, pode usar a autorização binária para criar políticas de implementação que só permitam implementações para imagens em conformidade de registos fidedignos.
A análise de artefactos associa metadados a imagens através de notas e ocorrências. Para saber mais acerca destes conceitos, consulte a página de gestão de metadados.
Para saber mais sobre os custos das funcionalidades de análise de artefactos, consulte o artigo Preços da análise de artefactos.
O que se segue?
- Comece a usar a análise automática.
- Comece a usar a análise a pedido.
- Saiba mais sobre os conceitos de digitalização.
- Saiba mais sobre os tipos de metadados suportados.