Die Artefaktanalyse umfasst eine Reihe von Diensten, sowie die Analyse von Kompositionen, das Speichern und Abrufen von Metadaten. Die Erkennungspunkte sind Google Cloud-Produkte wie Artifact Registry und Google Kubernetes Engine (GKE) für eine schnelle Aktivierung. Der Dienst ist kompatibel mit Erstanbieterprodukte von Google Cloud und Informationen aus externen Quellen. Die Scandienste nutzen eine gemeinsame Schwachstellenspeicher für den Abgleich von Dateien mit bekannten Sicherheitslücken.
Dieser Dienst hieß früher Container Analysis. Der neue Name bestehende Produkte oder APIs zu ändern, aber spiegelt aber die wachsende über Container hinaus.
Abbildung 1. Diagramm, das zeigt, wie die Artefaktanalyse erstellt und interagiert mit Metadaten für Quelle, Build, Speicher, Bereitstellung und Laufzeit Umgebungen.
Scans und Analyse
Automatisches Scannen
- Der Scanvorgang wird jedes Mal automatisch ausgelöst, wenn Sie eine neue Image in Artifact Registry oder Container Registry hochladen (eingestellt). Die Informationen zu Sicherheitslücken werden kontinuierlich aktualisiert, Sicherheitslücken aufgedeckt werden. Artifact Registry enthält die Anwendungssprache das Scannen von Paketen. Aktivieren Sie zuerst automatischen Scans aus.
Scannen von GKE-Arbeitslasten auf Sicherheitslücken – Standardstufe
- Im Rahmen des GKE-Sicherheitsstatus-Dashboards Scannen auf Sicherheitslücken ermöglicht die Erkennung von Container-Image-Betriebssystem Sicherheitslücken. Das Scannen ist kostenlos und kann pro Cluster aktiviert werden. Ergebnisse sind im Sicherheitsstatus-Dashboard verfügbar.
Scannen von GKE-Arbeitslasten auf Sicherheitslücken – Advanced Vulnerability Insights
- Neben dem einfachen Scannen des Containerbetriebssystems können ein Upgrade auf Advanced Vulnerability Insights ausführen, um von die kontinuierliche Erkennung von Sicherheitslücken in Sprachpaketen. Sie müssen es manuell aktivieren dieses Feature in Ihren Clustern. Danach erhalten Sie das Betriebssystem und für Pakete. Weitere Informationen zu Scannen auf Sicherheitslücken in GKE-Arbeitslasten.
On-Demand-Scanning
- Dieser Service ist nicht kontinuierlich. müssen Sie einen Befehl ausführen, den Scan durchführen. Die Ergebnisse des Scans sind bis zu 48 Stunden nach dem abgeschlossen. Die Informationen zu Sicherheitslücken werden nach dem Scan nicht aktualisiert. abgeschlossen. Sie können lokal gespeicherte Bilder scannen, ohne sie per Push übertragen zu müssen. Artifact Registry-, Container Registry- oder GKE-Laufzeiten zuerst. Bis Weitere Informationen finden Sie unter On-Demand-Scans.
Auf Metadaten zugreifen
Die Artefaktanalyse ist eine Google Cloud-Infrastruktur Komponente, mit der Sie Strukturierte Metadaten für Google Cloud speichern und abrufen Ressourcen. In den verschiedenen Phasen des Freigabeprozesses, Systeme Metadaten hinzufügen, die das Ergebnis einer Aktivität beschreiben. Für können Sie Ihrem Bild beispielsweise Metadaten hinzufügen, die angeben, dass ein oder einen Scan auf Sicherheitslücken.
Durch die Einbindung der Artefaktanalyse in Ihre CI/CD-Pipeline können Sie anhand dieser Metadaten Entscheidungen treffen können. So können Sie beispielsweise Binärautorisierung zum Erstellen von Bereitstellungsrichtlinien die nur Bereitstellungen für konforme Images aus vertrauenswürdigen Registrys ermöglichen.
Die Artefaktanalyse verknüpft Metadaten über Notizen und Fällen. Weitere Informationen zu diesen Konzepten finden Sie in der auf der Seite zur Metadatenverwaltung.
Wenn Sie die Artefaktanalyse mit Container Registry, dieselben Artifact Analysis APIs und Pub/Sub-Themen werden von beiden Produkten verwendet. Die neuesten Artefaktanalysefunktionen sind nur für Artifact Registry verfügbar. Hier erfahren Sie, wie Sie Umstellung von Container Registry .
Hier erfahren Sie mehr über die Verwendung der Artefaktanalyse für die Metadatenverwaltung und Kosten für den optionalen Dienst zum Scannen auf Sicherheitslücken siehe Dokumentation zur Artefaktanalyse