Artifact Analysis è una famiglia di servizi che fornisce analisi della composizione del software e archiviazione e recupero dei metadati. I suoi punti di rilevamento sono integrati in una serie di prodotti Google Cloud come Artifact Registry e Google Kubernetes Engine (GKE) per un'attivazione rapida. Il servizio funziona con entrambi i prodotti proprietari di Google Cloud e consente anche di archiviare informazioni da origini di terze parti. I servizi di scansione sfruttano un archivio di vulnerabilità comune per confrontare i file con le vulnerabilità note.
Questo servizio in precedenza era noto come Container Analysis. Il nuovo nome non modifica le API o i prodotti esistenti, ma riflette l'ampliamento della gamma di funzionalità del prodotto oltre i contenitori.
Figura 1. Diagramma che mostra l'Artifact Analysis che crea e interagisce con i metadati negli ambienti di origine, compilazione, archiviazione, deployment e runtime.
Scansione e analisi
Scansione automatica
- Il processo di scansione viene attivato automaticamente ogni volta che esegui il push di una nuova immagine in Artifact Registry o Container Registry (deprecato). Le informazioni sulle vulnerabilità vengono aggiornate continuamente quando vengono scoperte nuove vulnerabilità. Artifact Registry include la scansione dei pacchetti di linguaggi di applicazioni. Per iniziare, attiva la scansione automatica.
Analisi delle vulnerabilità dei workload GKE - livello standard
- Nell'ambito della dashboard della postura di sicurezza di GKE, analisi delle vulnerabilità del carico di lavoro consente di rilevare le vulnerabilità del sistema operativo dell'immagine del contenitore. La scansione è gratuita e può essere attivata per cluster. I risultati possono essere visualizzati nella dashboard della postura di sicurezza.
Analisi delle vulnerabilità dei workload GKE: approfondimenti sulle vulnerabilità avanzate
- Oltre alla scansione di base del sistema operativo del contenitore, gli utenti GKE possono eseguire l'upgrade ad Advanced Vulnerability Insights per usufruire del rilevamento continuo delle vulnerabilità dei pacchetti di linguaggio. Devi attivare manualmente questa funzionalità sui tuoi cluster, dopodiché riceverai i risultati relativi alle vulnerabilità del sistema operativo e dei pacchetti di linguaggio. Scopri di più sull'analisi delle vulnerabilità nei workload GKE.
Scansione on demand
- Questo servizio non è continuo; devi eseguire un comando per avviare manualmente la scansione. I risultati della ricerca sono disponibili fino a 48 ore dopo il suo completamento. Le informazioni sulle vulnerabilità non vengono aggiornate al termine della scansione. Puoi eseguire la scansione delle immagini archiviate localmente senza doverle prima eseguire il push in Artifact Registry, Container Registry o negli ambienti di runtime GKE. Per approfondire, consulta la sezione Scansione on demand.
Accedere ai metadati
Artifact Analysis è un componente dell'infrastruttura Google Cloud che ti consente di archiviare e recuperare metadati strutturati per le risorse Google Cloud. Nelle varie fasi del processo di rilascio, persone o sistemi automatici possono aggiungere metadati che descrivono il risultato di un'attività. Ad esempio, puoi aggiungere metadati all'immagine per indicare che ha superato un set di test di integrazione o una scansione delle vulnerabilità.
Con l'analisi degli elementi integrata nella pipeline CI/CD, puoi prendere decisioni in base a questi metadati. Ad esempio, puoi utilizzare Autorizzazione binaria per creare criteri di deployment che consentano solo i deployment di immagini conformi provenienti da registry attendibili.
Artifact Analysis associa i metadati alle immagini tramite note e occorrenze. Per scoprire di più su questi concetti, consulta la pagina di gestione dei metadati.
Se utilizzi Artifact Analysis con Container Registry, entrambi i prodotti utilizzano le stesse API Artifact Analysis e gli stessi argomenti Pub/Sub. Tuttavia, le funzionalità più recenti di Artifact Analysis sono disponibili solo per Artifact Registry. Per ulteriori informazioni, scopri come eseguire la transizione da Container Registry.
Per informazioni sui costi delle funzionalità di Artifact Analysis, consulta Prezzi di Artifact Analysis.
Passaggi successivi
- Inizia a utilizzare la scansione automatica.
- Inizia a utilizzare la scansione on demand.
- Scopri di più sui concetti di scansione.
- Scopri di più sui tipi di metadati supportati.