Visão geral do Artifact Analysis

O Artifact Analysis é um conjunto de serviços que oferece análise de composição de software, armazenamento de metadados e recuperação. Os pontos de detecção são integrados a vários produtos do Google Cloud, como o Artifact Registry e o Google Kubernetes Engine (GKE), para uma ativação rápida. O serviço funciona com os produtos próprios do Google Cloud e permite que você armazene informações de fontes externas. Os serviços de verificação usam um repositório de vulnerabilidades comum para fazer a correspondência entre arquivos de vulnerabilidades conhecidas.

Esse serviço era conhecido como Container Analysis. O novo nome não muda os produtos ou APIs existentes, mas reflete a gama de recursos em expansão do produto além dos contêineres.

Artifact Analysis em CI/CD

Figura 1. Diagrama que mostra o Artifact Analysis criando e interagindo com metadados em ambientes de origem, build, armazenamento, implantação e de execução.

Verificação e análise

Verificação automática

  • O processo de verificação é acionado automaticamente sempre que você envia uma nova imagem para o Artifact Registry ou o Container Registry (descontinuado). As informações de vulnerabilidade são atualizadas continuamente quando novas vulnerabilidades são descobertas. O Artifact Registry inclui a verificação de pacotes de linguagem de aplicativos. Para começar, ative a verificação automática.

Verificação de vulnerabilidades da carga de trabalho do GKE: nível padrão

  • Como parte do painel de postura de segurança do GKE, a verificação de vulnerabilidades da carga de trabalho detecta vulnerabilidades do SO da imagem do contêiner. A verificação é gratuita e pode ser ativada por cluster. Os resultados estão disponíveis no painel de postura de segurança.

Verificação de vulnerabilidades da carga de trabalho do GKE: insights avançados sobre vulnerabilidades

  • Além da verificação básica do SO do contêiner, os usuários do GKE podem fazer upgrade para insights avançados sobre vulnerabilidades e aproveitar a detecção contínua de vulnerabilidades de pacotes de linguagem. É necessário ativar manualmente esse recurso nos clusters. Depois disso, você vai receber resultados de vulnerabilidades do SO e do pacote de idioma. Saiba mais sobre a verificação de vulnerabilidades em cargas de trabalho do GKE.

Verificação sob demanda

  • Esse serviço não é contínuo. É necessário executar um comando para iniciar manualmente a verificação. Os resultados da verificação ficam disponíveis até 48 horas após a conclusão da verificação. As informações de vulnerabilidade não são atualizadas após a conclusão da verificação. É possível verificar imagens armazenadas localmente sem precisar enviá-las primeiro para o Artifact Registry, o Container Registry ou o ambiente de execução do GKE. Para saber mais, consulte Verificação sob demanda.

Acessar metadados

  • O Artifact Analysis é um componente de infraestrutura do Google Cloud que permite armazenar e recuperar metadados estruturados para recursos do Google Cloud. Em várias fases do processo de lançamento, pessoas ou sistemas automatizados podem adicionar metadados que descrevem o resultado de uma atividade. Por exemplo, você pode adicionar metadados à sua imagem indicando que ela passou por um pacote de teste de integração ou por uma verificação de vulnerabilidade.

  • Com o Artifact Analysis integrado ao pipeline de CI/CD, é possível tomar decisões com base nesses metadados. Por exemplo, é possível usar a autorização binária para criar políticas de implantação que permitam apenas implantações de imagens compatíveis de registros confiáveis.

  • O Artifact Analysis associa metadados a imagens por meio de notas e ocorrências. Para saber mais sobre esses conceitos, consulte a página de gerenciamento de metadados.

Se você estiver usando o Artifact Analysis com o Container Registry, as mesmas APIs do Artifact Analysis e os tópicos do Pub/Sub serão usados pelos dois produtos. No entanto, os recursos mais recentes do Artifact Analysis só estão disponíveis para o Artifact Registry. Saiba como fazer a transição do Container Registry para mais informações.

Para saber mais sobre os custos dos recursos do Artifact Analysis, consulte Preços do Artifact Analysis.

A seguir