Artifact Analysis는 컨테이너를 스캔하기 위한 두 가지 기능, 즉 주문형 스캔과 자동 스캔을 제공합니다. 이 문서에서는 각 방법의 이점을 소개합니다. Artifact Analysis는 메타데이터 관리도 제공합니다. 스캔 및 메타데이터 저장소를 함께 활용하여 CI/CD 파이프라인을 종단 간으로 보호하는 방법에 관한 자세한 내용은 Artifact Analysis 개요를 참고하세요.
주문형 및 자동 스캔을 통해 운영체제 및 언어 패키지 (Java, Go)의 취약점을 식별할 수 있습니다. 하지만 자동 언어 패키지 스캔은 Artifact Registry에서만 사용할 수 있습니다.
각 레지스트리 제품에 지원되는 검사 유형 목록은 비교 차트를 참고하세요. Container Registry를 사용 중인 경우 Artifact Registry로 전환하는 방법을 알아보세요.
컨테이너 이미지 스캔과 관련된 비용에 대한 자세한 내용은 가격 책정을 참고하세요.
주문형 스캔
주문형 스캔을 사용하면 gcloud CLI를 사용하여 컴퓨터 또는 레지스트리에서 로컬로 컨테이너 이미지를 스캔할 수 있습니다. 이를 통해 취약점 결과에 액세스해야 하는 시점에 따라 CI/CD 파이프라인을 유연하게 맞춤설정할 수 있습니다.
자동 스캔
Artifact Analysis는 Artifact Registry 또는 Container Registry의 아티팩트에 대한 취약점 스캔을 실행합니다. Artifact Analysis는 취약점 정보를 모니터링하여 최신 상태로 유지합니다. 이 프로세스는 푸시 시 스캔 및 지속적 분석이라는 두 가지 주요 작업으로 구성됩니다.
푸시 시 스캔
Artifact Analysis는 새 이미지가 Artifact Registry 또는 Container Registry에 업로드될 때 이를 스캔합니다. 이 스캔은 컨테이너의 시스템 패키지에 대한 정보를 추출합니다. 이미지는 이미지 다이제스트를 기반으로 한 번만 스캔됩니다. 즉, 태그를 추가하거나 수정하면 새 스캔이 트리거되지 않으며 이미지의 콘텐츠만 변경됩니다.
Artifact Analysis는 보안 취약점에서 공개적으로 모니터링되는 패키지만 감지합니다.
이미지 스캔이 완료된 후 생성된 취약점 결과는 해당 이미지에 대한 취약점 어커런스의 모음입니다.
지속적 분석
Artifact Analysis는 이미지 업로드 시 발견된 취약점에 대한 어커런스를 만듭니다. 초기 스캔 후 Artifact Registry 및 Container Registry에서 스캔한 이미지의 메타데이터를 지속적으로 모니터링하여 새로운 취약점이 있는지 확인합니다.
Artifact Analysis는 매일 여러 번 취약점 소스에서 새로운 업데이트된 취약점 정보를 수신합니다. 새로운 취약점 데이터가 도착하면 Artifact Analysis는 스캔한 이미지의 메타데이터를 업데이트하여 최신 상태로 유지합니다. Artifact Analysis는 기존 취약점 어커런스를 업데이트하고, 새 메모에 대한 새 취약점 어커런스를 생성하며, 더 이상 유효하지 않은 취약점 어커런스를 삭제합니다.
Artifact Analysis는 지난 30일 동안 푸시 또는 가져온 이미지의 메타데이터만 업데이트합니다. 30일 후에는 메타데이터가 더 이상 업데이트되지 않으며 결과가 비활성화됩니다. 또한 Artifact Analysis는 90일 넘게 비활성 상태인 메타데이터를 보관처리하며, 이러한 메타데이터는 Google Cloud 콘솔, gcloud 또는 API를 사용하여 사용할 수 없습니다. 비활성 또는 보관처리된 메타데이터가 있는 이미지를 다시 스캔하려면 해당 이미지를 가져오세요. 메타데이터를 새로고침하는 데 최대 24시간이 걸릴 수 있습니다.
매니페스트 목록
매니페스트 목록과 함께 취약점 스캔을 사용할 수도 있습니다. 매니페스트 목록은 여러 플랫폼의 매니페스트에 대한 포인터 목록입니다. 이를 통해 단일 이미지가 여러 아키텍처 또는 운영체제 변형에서 작동할 수 있습니다.
Artifact Analysis 취약점 스캔은 Linux amd64 이미지만 지원합니다. 매니페스트 목록이 두 개 이상의 Linux amd64 이미지를 가리키는 경우 첫 번째 이미지만 스캔됩니다. Linux amd64 이미지에 대한 포인터가 없으면 스캔 결과가 없습니다.