Artifact Analysis è una famiglia di servizi che fornisce analisi della composizione del software e archiviazione e recupero dei metadati. I suoi punti di rilevamento sono integrati in una serie di Google Cloud prodotti come Artifact Registry e Google Kubernetes Engine (GKE) per un'attivazione rapida. Il servizio funziona con entrambi i prodotti proprietari di Google Cloude consente anche di archiviare informazioni da origini di terze parti. I servizi di scansione sfruttano un archivio di vulnerabilità comune per confrontare i file con le vulnerabilità note.
Questo servizio in precedenza era noto come Analisi dei contenitori. Il nuovo nome non modifica le API o i prodotti esistenti, ma riflette la gamma in espansione delle funzionalità del prodotto oltre i contenitori.
Figura 1. Diagramma che mostra l'analisi degli elementi che crea e interagisce con i metadati negli ambienti di origine, compilazione, archiviazione, deployment e runtime.
Scansione e analisi
Scansione automatica
- Il processo di scansione viene attivato automaticamente ogni volta che esegui il push di una nuova immagine in Artifact Registry o Container Registry (deprecato). Le informazioni sulle vulnerabilità vengono aggiornate continuamente quando vengono scoperte nuove vulnerabilità. Artifact Registry include la scansione dei pacchetti di linguaggi di applicazioni. Per iniziare, attiva la scansione automatica.
Analisi delle vulnerabilità dei workload GKE - livello standard
- Nell'ambito della dashboard della postura di sicurezza di GKE, la scansione delle vulnerabilità del carico di lavoro consente di rilevare le vulnerabilità del sistema operativo dell'immagine del contenitore. La scansione è gratuita e può essere attivata per cluster. I risultati possono essere visualizzati nella dashboard della postura di sicurezza.
Analisi delle vulnerabilità dei workload GKE: approfondimenti sulle vulnerabilità avanzate
- Oltre alla scansione di base del sistema operativo del contenitore, gli utenti GKE possono eseguire l'upgrade ad Advanced Vulnerability Insights per usufruire del rilevamento continuo delle vulnerabilità dei pacchetti di linguaggio. Devi attivare manualmente questa funzionalità sui tuoi cluster, dopodiché riceverai i risultati relativi alle vulnerabilità del sistema operativo e dei pacchetti di linguaggio. Scopri di più sull'analisi delle vulnerabilità nei workload GKE.
Scansione on demand
- Questo servizio non è continuo; devi eseguire un comando per avviare manualmente la scansione. I risultati della ricerca sono disponibili fino a 48 ore dopo il suo completamento. Le informazioni sulle vulnerabilità non vengono aggiornate al termine della scansione. Puoi eseguire la scansione delle immagini archiviate localmente senza doverle prima eseguire il push in Artifact Registry, Container Registry o negli ambienti di runtime GKE. Per approfondire, consulta la sezione Scansione on demand.
Accedere ai metadati
L'analisi degli elementi è un componente dell' Google Cloud infrastruttura che ti consente di memorizzare e recuperare metadati strutturati per le risorse Google Cloud. Nelle varie fasi del processo di rilascio, persone o sistemi automatici possono aggiungere metadati che descrivono il risultato di un'attività. Ad esempio, puoi aggiungere metadati all'immagine per indicare che ha superato un set di test di integrazione o una scansione delle vulnerabilità.
Con l'analisi degli elementi integrata nella pipeline CI/CD, puoi prendere decisioni in base a questi metadati. Ad esempio, puoi utilizzare Autorizzazione binaria per creare criteri di deployment che consentano solo i deployment per immagini conformi provenienti da registry attendibili.
Artifact Analysis associa i metadati alle immagini tramite note e occorrenze. Per scoprire di più su questi concetti, consulta la pagina di gestione dei metadati.
Se utilizzi Artifact Analysis con Container Registry, entrambi i prodotti utilizzano le stesse API Artifact Analysis e gli stessi argomenti Pub/Sub. Tuttavia, le funzionalità più recenti di Analisi degli elementi sono disponibili solo per Artifact Registry. Per ulteriori informazioni, scopri come eseguire la transizione da Container Registry.
Per informazioni sull'utilizzo di Artifact Analysis per la gestione dei metadati e sui costi del servizio facoltativo di analisi delle vulnerabilità, consulta la documentazione di Artifact Analysis.