Artefaktanalyse bietet zwei Funktionen zum Scannen Ihrer Container: On-Demand-Scannen und automatisches Scannen. In diesem Dokument werden die Vorteile der einzelnen Optionen vorgestellt. Artefaktanalyse bietet auch eine Metadatenverwaltung. Weitere Informationen dazu, wie Sie Scannen und Metadatenspeicherung kombinieren können, um Ihre CI/CD-Pipeline von Anfang bis Ende zu schützen, finden Sie in der Übersicht über die Artefaktanalyse.
Mit On-Demand- und automatischem Scannen können Sicherheitslücken in Ihrem Betriebssystem und in Sprachpaketen (Java und Go) erkannt werden. Das automatische Scannen von Sprachpaketen ist jedoch nur für Artifact Registry verfügbar.
Eine Liste der unterstützten Scantypen für jedes Registry-Produkt finden Sie im Vergleichsdiagramm. Wenn Sie Container Registry verwenden, erfahren Sie hier, wie Sie zu Artifact Registry wechseln.
Weitere Informationen zu den Kosten für das Scannen von Container-Images finden Sie unter Preise.
On-Demand-Scanning
Mit dem On-Demand-Scanning können Sie Container-Images lokal auf Ihrem Computer oder in Ihrer Registry mit der gcloud CLI scannen. So können Sie Ihre CI/CD-Pipeline je nachdem anpassen, wann Sie auf die Ergebnisse der Sicherheitslückenprüfung zugreifen müssen.
Automatischer Scan
Die Artefaktanalyse führt Scans auf Sicherheitslücken für Ihre Artefakte in Artifact Registry oder Container Registry durch. Außerdem werden die Informationen zu Sicherheitslücken überwacht, um sie auf dem neuesten Stand zu halten. Dieser Vorgang umfasst zwei Hauptaufgaben: On-Push-Scannen und kontinuierliche Analyse.
On-Push-Scanning
Artefaktanalyse scannt neue Images, sobald sie in Artifact Registry oder Container Registry hochgeladen werden. Bei diesem Scan werden Informationen zu den Systempaketen im Container extrahiert. Die Bilder werden nur einmal und zwar anhand des Digest des Images gescannt. Das bedeutet, dass das Hinzufügen oder Ändern von Tags keine neuen Scans auslöst. Dies erfolgt nur, wenn der Inhalt des Images geändert wird.
Die Artefaktanalyse erkennt nur Pakete, die öffentlich auf Sicherheitslücken überwacht werden.
Wenn der Scan eines Images abgeschlossen ist, ist das entstandene Sicherheitslückenergebnis die Sammlung der Vorkommen von Sicherheitslücken in einem Image.
Kontinuierliche Analyse
Die Artefaktanalyse erstellt Vorkommen für Sicherheitslücken, die beim Hochladen des Images gefunden wurden. Nach dem ersten Scan werden die Metadaten für gescannte Images in Artifact Registry und Container Registry kontinuierlich auf neue Sicherheitslücken geprüft.
Die Artefaktanalyse erhält mehrmals täglich neue und aktualisierte Informationen zu Sicherheitslücken aus Sicherheitslückenquellen. Wenn neue Sicherheitslückendaten eingehen, aktualisiert die Artefaktanalyse die Metadaten der gescannten Bilder, um sie auf dem neuesten Stand zu halten. Die Artefaktanalyse aktualisiert vorhandene Vorkommen von Sicherheitslücken, erstellt neue Vorkommen von Sicherheitslücken für neue Hinweise und löscht Vorkommen von Sicherheitslücken, die nicht mehr gültig sind.
Die Artefaktanalyse aktualisiert nur die Metadaten für Images, die in den letzten 30 Tagen per Push oder Pull übertragen wurden. Nach 30 Tagen werden die Metadaten nicht mehr aktualisiert und die Ergebnisse sind veraltet. Außerdem werden mit der Artefaktanalyse Metadaten archiviert, die seit mehr als 90 Tagen inaktiv sind. Diese Metadaten sind dann nicht mehr in der Google Cloud Console, in gcloud oder über die API verfügbar. Wenn Sie ein Image mit veralteten oder archivierten Metadaten noch einmal scannen möchten, ziehen Sie es per Pull ab. Das Aktualisieren von Metadaten kann bis zu 24 Stunden dauern.
Manifestlisten
Sie können die Sicherheitsrisikoprüfung auch mit Manifestlisten verwenden. Eine Manifestliste ist eine Liste von Verweispunkten auf Manifeste für mehrere Plattformen. So kann ein einzelnes Image mit mehreren Architekturen oder Varianten eines Betriebssystems verwendet werden.
Das Scannen auf Sicherheitslücken mit der Artefaktanalyse wird nur für Linux-amd64-Images unterstützt. Wenn Ihre Manifestliste auf mehrere Linux amd64-Images verweist, wird nur das erste gescannt. Wenn es keine Verweise auf Linux amd64-Images gibt, erhalten Sie keine Scanergebnisse.