Artefaktanalyse ist eine Gruppe von Diensten, die die Analyse der Softwarezusammensetzung, den Metadatenspeicher und das Abrufen von Metadaten ermöglichen. Die Erkennungsstellen sind in einer Reihe von Google Cloud-Produkten wie Artifact Registry und Google Kubernetes Engine (GKE) integriert, um eine schnelle Aktivierung zu ermöglichen. Der Dienst funktioniert sowohl mit den eigenen Produkten von Google Cloud als auch mit Informationen von Drittanbieterquellen. Die Scandienste nutzen einen gemeinsamen Sicherheitslückenspeicher, um Dateien mit bekannten Sicherheitslücken abzugleichen.
Dieser Dienst hieß früher „Container Analysis“. Der neue Name ändert keine vorhandenen Produkte oder APIs, sondern spiegelt die wachsende Bandbreite an Funktionen des Produkts wider, die über Container hinausgehen.
Abbildung 1. Diagramm, das die Artefaktanalyse zeigt, bei der Metadaten in Quell-, Build-, Speicher-, Bereitstellungs- und Laufzeitumgebungen erstellt und verwendet werden.
Scannen und Analyse
Automatischer Scan
- Der Scanvorgang wird jedes Mal automatisch ausgelöst, wenn Sie ein neues Image in Artifact Registry oder Container Registry hochladen (veraltet). Die Informationen zu Sicherheitslücken werden kontinuierlich aktualisiert, wenn neue Sicherheitslücken entdeckt werden. Artifact Registry umfasst das Scannen von Paketen mit Anwendungssprachen. Aktivieren Sie zuerst die automatische Suche.
Scannen von GKE-Arbeitslasten auf Sicherheitslücken – Standardstufe
- Im Rahmen des GKE-Sicherheitsstatus-Dashboards können Sie mit dem Scannen von Arbeitslasten auf Sicherheitslücken Betriebssystemlücken von Container-Images erkennen. Das Scannen ist kostenlos und kann pro Cluster aktiviert werden. Die Ergebnisse sind im Dashboard für den Sicherheitsstatus verfügbar.
Scannen von GKE-Arbeitslasten auf Sicherheitslücken – erweiterte Informationen zu Sicherheitslücken
- Zusätzlich zum grundlegenden Scannen des Containerbetriebssystems können GKE-Nutzer ein Upgrade auf erweiterte Informationen zu Sicherheitslücken ausführen, um die kontinuierliche Erkennung von Sicherheitslücken in Sprachpaketen zu nutzen. Sie müssen diese Funktion in Ihren Clustern manuell aktivieren. Anschließend erhalten Sie Ergebnisse zu Sicherheitslücken in Betriebssystem- und Sprachpaketen. Weitere Informationen zum Scannen auf Sicherheitslücken in GKE-Arbeitslasten
On-Demand-Scanning
- Dieser Dienst wird nicht kontinuierlich ausgeführt. Sie müssen einen Befehl ausführen, um den Scan manuell zu starten. Scanergebnisse sind bis zu 48 Stunden nach Abschluss des Scans verfügbar. Die Informationen zu Sicherheitslücken werden nach dem Scan nicht aktualisiert. Sie können lokal gespeicherte Images scannen, ohne sie zuerst in Artifact Registry, Container Registry oder GKE-Laufzeiten hochladen zu müssen. Weitere Informationen finden Sie unter On-Demand-Scans.
Auf Metadaten zugreifen
Artefaktanalyse ist eine Google Cloud-Infrastrukturkomponente, mit der Sie strukturierte Metadaten für Google Cloud-Ressourcen speichern und abrufen können. In verschiedenen Phasen des Releaseprozesses können Personen oder automatisierte Systeme Metadaten hinzufügen, die das Ergebnis einer Aktivität beschreiben. Beispielsweise können Sie Ihrem Image Metadaten hinzufügen, die angeben, dass es einen Integrations-Testsuite oder einen Scan auf Sicherheitslücken bestanden hat.
Wenn Artifact Analysis in Ihre CI/CD-Pipeline eingebunden ist, können Sie auf der Grundlage dieser Metadaten Entscheidungen treffen. Sie können beispielsweise mit der Binärautorisierung Deployment-Richtlinien erstellen, die nur Deployments für konforme Images aus vertrauenswürdigen Registries zulassen.
Die Artefaktanalyse verknüpft Metadaten unter Einsatz von Hinweisen und Vorgängen zu Images. Weitere Informationen zu diesen Konzepten finden Sie auf der Seite zur Metadatenverwaltung.
Wenn Sie Artefaktanalyse mit Container Registry verwenden, werden für beide Produkte dieselben Artifact Analysis APIs und Pub/Sub-Themen verwendet. Die neuesten Funktionen der Artefaktanalyse sind jedoch nur für Artifact Registry verfügbar. Weitere Informationen finden Sie unter Von Container Registry wechseln.
Informationen zu den Kosten für die Funktionen der Artefaktanalyse finden Sie unter Preise für die Artefaktanalyse.
Nächste Schritte
- Erste Schritte mit dem automatischen Scannen
- Einführung in On-Demand-Scans
- Weitere Informationen zu Scankonzepten
- Weitere Informationen zu unterstützten Metadatentypen