Análise de artefatos e verificação de vulnerabilidades

O Artifact Analysis é uma família de serviços que fornecem análise de composição, armazenamento e recuperação de metadados. Os pontos de detecção são integrados a vários produtos do Google Cloud, como o Artifact Registry e o Google Kubernetes Engine (GKE), para uma ativação rápida. O serviço funciona com produtos próprios do Google Cloud e também permite armazenar informações de fontes de terceiros. Os serviços de verificação usam uma tecnologia armazenamento de vulnerabilidades para corresponder arquivos a vulnerabilidades conhecidas.

Esse serviço era conhecido como Container Analysis. O novo nome não muda os produtos ou APIs existentes, mas reflete a gama crescente de recursos do produto além dos contêineres.

Análise de artefatos em CI/CD

Figura 1. Diagrama que mostra o Artifact Analysis criando e interagindo com metadados de origem, build, armazenamento, implantação e ambiente de execução e ambientes de teste.

Verificação e análise

Verificação automática

  • O processo de verificação é acionado automaticamente sempre que você envia uma nova imagem para o Artifact Registry ou o Container Registry (descontinuado). As informações de vulnerabilidade são atualizadas continuamente quando novas vulnerabilidades sejam descobertas. O Artifact Registry inclui linguagem do aplicativo e a verificação de pacotes. Para começar, ative a verificação automática.

Verificação de vulnerabilidades da carga de trabalho do GKE: nível padrão

  • Como parte do painel de postura de segurança do GKE, a verificação de vulnerabilidades da carga de trabalho oferece a detecção de vulnerabilidades do SO da imagem do contêiner. A verificação é gratuita e pode ser ativada por cluster. Os resultados estão disponíveis no painel de postura de segurança.

Verificação de vulnerabilidades da carga de trabalho do GKE: insights avançados sobre vulnerabilidades

  • Além da verificação básica do SO do contêiner, os usuários do GKE podem fazer upgrade para insights avançados sobre vulnerabilidades e aproveitar a detecção contínua de vulnerabilidades de pacotes de linguagem. É necessário ativar manualmente esse recurso nos clusters. Depois, você vai receber informações sobre SO e os resultados da vulnerabilidade do pacote. Saiba mais sobre verificação de vulnerabilidades em cargas de trabalho do GKE.

Verificação sob demanda

  • Esse serviço não é contínuo. É necessário executar um comando para iniciar manualmente a verificação. Os resultados da verificação ficam disponíveis até 48 horas após a conclusão da verificação. As informações de vulnerabilidade não são atualizadas após a conclusão da verificação. É possível verificar imagens armazenadas localmente, sem precisar enviá-las para primeiro nos ambientes de execução do Artifact Registry, Container Registry ou GKE. Para saber mais, consulte Verificação sob demanda.

Acessar metadados

  • O Artifact Analysis é uma ferramenta de infraestrutura que permite armazenar e recuperar metadados estruturados para o Google Cloud; do Google Cloud. Em várias fases do processo de lançamento, pessoas ou sistemas automatizados podem adicionar metadados que descrevem o resultado de uma atividade. Por exemplo, você pode adicionar metadados à sua imagem indicando que ela passou por um pacote de teste de integração ou por uma verificação de vulnerabilidade.

  • Com o Artifact Analysis integrado ao pipeline de CI/CD, é pode tomar decisões com base nesses metadados. Por exemplo, é possível usar a autorização binária para criar políticas de implantação que permitam apenas implantações de imagens compatíveis de registros confiáveis.

  • O Artifact Analysis associa metadados a imagens por meio de notas e ocorrências. Para saber mais sobre esses conceitos, consulte a página de gerenciamento de metadados.

Se você estiver usando o Artifact Analysis com o Container Registry, as mesmas APIs do Artifact Analysis e os tópicos do Pub/Sub serão usados por ambos os produtos. No entanto, os recursos mais recentes da Análise de artefatos só estão disponíveis para o Artifact Registry. Saiba como fazer a transição do Container Registry para mais informações.

aprender a usar o Artifact Analysis para gerenciamento de metadados; para o serviço opcional de verificação de vulnerabilidades, consulte a Documentação do Artifact Analysis.