Artifact Analysis propose deux fonctionnalités d'analyse de vos conteneurs: l'analyse à la demande et l'analyse automatique. Ce document présente les avantages de chacune d'elles. Artifact Analysis fournit également une gestion des métadonnées. Pour découvrir comment exploiter l'analyse et le stockage des métadonnées pour sécuriser votre pipeline CI/CD de bout en bout, consultez la présentation de l'analyse des artefacts.
Les analyses à la demande et automatiques peuvent identifier les failles de votre système d'exploitation et de vos packages de langage (Java et Go). Toutefois, l'analyse automatique des packages de langage n'est disponible que pour Artifact Registry.
Pour obtenir la liste des types d'analyse compatibles pour chaque produit de registre, consultez le tableau comparatif. Si vous utilisez Container Registry, découvrez comment passer à Artifact Registry.
Consultez la page Tarifs pour en savoir plus sur les coûts associés à l'analyse des images de conteneur.
Analyse à la demande
L'analyse à la demande vous permet d'analyser des images de conteneur en local sur votre ordinateur ou dans votre registre à l'aide de gcloud CLI. Vous pouvez ainsi personnaliser votre pipeline CI/CD en fonction du moment où vous devez accéder aux résultats de la faille.
Analyse automatique
Artifact Analysis recherche les éventuelles failles de vos artefacts dans Artifact Registry ou Container Registry. Artifact Analysis surveille également les informations sur les failles afin de les maintenir à jour. Ce processus comprend deux tâches principales: l'analyse push et l'analyse continue.
Analyse à la demande
Artifact Analysis analyse les nouvelles images au fur et à mesure de leur importation dans Artifact Registry ou Container Registry. Cette analyse extrait des informations sur les packages système du conteneur. Les images ne sont analysées qu'une seule fois, en fonction de leur condensé. Cela signifie que l'ajout ou la modification de tags ne déclenche pas de nouvelles analyses, mais uniquement la modification du contenu de l'image.
Artifact Analysis ne détecte que les packages surveillés publiquement pour détecter les failles de sécurité.
Lorsque l'analyse d'une image est terminée, le résultat de faille produit est l'ensemble des occurrences de faille pour cette image.
Analyse continue
Artifact Analysis crée des occurrences pour les failles détectées lors de l'importation de l'image. Une fois l'analyse initiale terminée, Artifact Registry surveille en permanence les métadonnées des images analysées afin de détecter de nouvelles failles.
Artifact Analysis reçoit de nouvelles informations ou des informations actualisées sur les failles provenant de sources de failles plusieurs fois par jour. Lorsque de nouvelles données sur les failles arrivent, Artifact Analysis met à jour les métadonnées des images analysées pour les actualiser. Artifact Analysis met à jour les occurrences de failles existantes, crée des occurrences de failles pour les nouvelles notes et supprime les occurrences de failles qui ne sont plus valides.
Artifact Analysis ne met à jour que les métadonnées des images qui ont été transférées ou extraites au cours des 30 derniers jours. Au bout de 30 jours, les métadonnées ne seront plus mises à jour et les résultats seront obsolètes. De plus, Artifact Analysis archive les métadonnées obsolètes depuis plus de 90 jours. Elles ne seront pas disponibles dans la console Google Cloud, gcloud ni via l'API. Pour lancer une nouvelle analyse d'une image avec des métadonnées obsolètes ou archivées, extrayez cette image. L'actualisation des métadonnées peut prendre jusqu'à 24 heures.
Listes de manifestes
Vous pouvez également utiliser l'analyse des failles avec des listes de fichiers manifestes. Une liste de fichiers manifestes est une liste de pointeurs vers des fichiers manifestes pour plusieurs plates-formes. Ils permettent à une seule image de fonctionner avec plusieurs architectures ou variantes d'un système d'exploitation.
L'analyse des failles Artifact Analysis n'est compatible qu'avec les images Linux amd64. Si votre liste de fichiers manifestes pointe vers plusieurs images Linux amd64, seule la première sera analysée. Si aucun pointeur ne pointe vers des images Linux amd64, vous n'obtiendrez aucun résultat d'analyse.