Artifact Analysis fornisce due funzionalità per la scansione dei container: la scansione on demand e la scansione automatica. Questo documento illustra i vantaggi di ciascuno. Artifact Analysis fornisce anche la gestione dei metadati. Per scoprire di più su come utilizzare la scansione e lo spazio di archiviazione dei metadati per proteggere la pipeline CI/CD da un'estremità all'altra, consulta la Panoramica di Artifact Analysis.
Le analisi automatiche e su richiesta possono identificare le vulnerabilità nel sistema operativo e nei pacchetti di linguaggi (Java e Go). Tuttavia, la scansione automatica dei pacchetti di lingue è disponibile solo per Artifact Registry.
Per un elenco dei tipi di analisi supportati per ogni prodotto del registry, consulta la tabella di confronto. Se utilizzi Container Registry, scopri come eseguire la transizione ad Artifact Registry.
Consulta la pagina Prezzi per scoprire di più sui costi associati alla scansione delle immagini dei container.
Scansione on demand
La scansione on demand ti consente di eseguire la scansione delle immagini container a livello locale sul computer o nel tuo registry utilizzando la gcloud CLI. In questo modo hai la flessibilità di personalizzare la pipeline CI/CD, a seconda di quando devi accedere ai risultati relativi alle vulnerabilità.
Scansione automatica
Artifact Analysis esegue analisi delle vulnerabilità sugli artefatti in Artifact Registry o Container Registry. Artifact Analysis monitora inoltre le informazioni sulle vulnerabilità per mantenerle aggiornate. Questo processo comprende due attività principali: la scansione on-push e l'analisi continua.
Scansione push
Artifact Analysis esegue la scansione delle nuove immagini quando vengono caricate su Artifact Registry o Container Registry. Questa scansione estrae informazioni sui pacchetti di sistema nel contenitore. Le immagini vengono sottoposte a scansione una sola volta, in base al digest dell'immagine. Ciò significa che l'aggiunta o la modifica dei tag non attiverà nuove scansioni, ma solo la modifica dei contenuti dell'immagine.
Artifact Analysis rileva solo i pacchetti monitorati pubblicamente per vulnerabilità di sicurezza.
Al termine della scansione di un'immagine, il risultato della vulnerabilità prodotto è la raccolta delle occorrenze di vulnerabilità per quell'immagine.
Artifact Analysis non esegue automaticamente l'analisi delle immagini esistenti. Per analizzare un'immagine esistente, devi eseguirne di nuovo il push.
Analisi continua
Artifact Analysis crea occorrenze per le vulnerabilità rilevate al caricamento dell'immagine. Dopo la scansione iniziale, monitora continuamente i metadati delle immagini sottoposte a scansione in Artifact Registry e Container Registry per rilevare nuove vulnerabilità.
Artifact Analysis riceve informazioni sulle vulnerabilità nuove e aggiornate dalle origini delle vulnerabilità più volte al giorno. Quando vengono acquisiti nuovi dati sulle vulnerabilità, Artifact Analysis aggiorna i metadati delle immagini sottoposte a scansione per mantenerli aggiornati. Artifact Analysis aggiorna le occorrenze di vulnerabilità esistenti, crea nuove occorrenze di vulnerabilità per le nuove note ed elimina le occorrenze di vulnerabilità che non sono più valide.
Artifact Analysis aggiorna solo i metadati delle immagini inviate o rimosse negli ultimi 30 giorni. Artifact Analysis archivia i metadati più vecchi di 30 giorni.Per eseguire di nuovo la scansione di un'immagine con metadati archiviati, esegui il pull dell'immagine. L'aggiornamento dei metadati può richiedere fino a 24 ore.
Elenchi manifest
Puoi anche utilizzare analisi delle vulnerabilità con gli elenchi manifest. Un elenco di manifest è un elenco di puntatori ai manifest per diverse piattaforme. Consentono a una singola immagine di funzionare con più architetture o varianti di un sistema operativo.
L'analisi delle vulnerabilità di Artifact Analysis supporta solo le immagini Linux amd64. Se l'elenco manifest rimanda a più immagini Linux amd64, verrà analizzata solo la prima. Se non sono presenti indicatori di immagini Linux amd64, non verranno visualizzati risultati di analisi.
Passaggi successivi
- Utilizzare i pacchetti del sistema operativo.
- Lavora con i pacchetti Go.
- Utilizzare i pacchetti Java.