Artifact Analysis es una familia de servicios que proporciona análisis de composición de software, almacenamiento y recuperación de metadatos. Sus puntos de detección están integrados en varios productos de Google Cloud, como Artifact Registry y Google Kubernetes Engine (GKE), para una habilitación rápida. El servicio funciona con ambos productos de origen de Google Cloud y también te permite almacenar información de fuentes de terceros. Los servicios de análisis aprovechan un almacén común de vulnerabilidades para hacer coincidir los archivos con las vulnerabilidades conocidas.
Este servicio antes se conocía como Container Analysis. El nombre nuevo no cambia los productos ni las APIs existentes, sino que refleja el rango en expansión de funciones del producto más allá de los contenedores.
Figura 1. Diagrama en el que se muestra a Artifact Analysis crear y también interactuar con metadatos en entornos de origen, compilación, almacenamiento, implementación y entorno de ejecución.
Escaneo y análisis
Búsqueda automática
- El proceso de análisis se activa de forma automática cada vez que envías una imagen nueva a Artifact Registry o Container Registry (obsoleta). La información se actualiza continuamente cuando se descubren vulnerabilidades nuevas. Artifact Registry incluye el análisis de paquetes de lenguajes de aplicaciones. Para comenzar, habilita el análisis automático.
Análisis de vulnerabilidades de las cargas de trabajo de GKE: nivel Estándar
- Como parte del panel de postura de seguridad de GKE, el análisis de vulnerabilidades de la carga de trabajo proporciona detección de las vulnerabilidades del SO de la imagen de contenedor. El análisis es gratuito y se puede habilitar por clúster. Los resultados están disponibles para verlos en el panel de postura de seguridad.
Análisis de vulnerabilidades de las cargas de trabajo de GKE: Estadísticas avanzadas de vulnerabilidades
- Además del análisis básico de Container OS, los usuarios de GKE pueden actualizar a las estadísticas de vulnerabilidades avanzadas para aprovechar la detección continua de vulnerabilidades de paquetes de idiomas. Debes habilitar esta función de forma manual en los clústeres; después de eso, recibirás los resultados de vulnerabilidades de los paquetes de idioma y SO. Obtén más información sobre el análisis de vulnerabilidades en las cargas de trabajo de GKE.
Análisis a pedido
- Este servicio no es continuo; debes ejecutar un comando para iniciar el análisis de forma manual. Los resultados del análisis están disponibles hasta 48 horas después de que se completa. La información de vulnerabilidad no se actualiza una vez finalizado el análisis. Puedes analizar imágenes almacenadas de forma local sin tener que enviarlas primero a los entornos de ejecución de Artifact Registry, Container Registry o GKE. Para obtener más información, consulta el análisis a pedido.
Metadatos de acceso
Artifact Analysis es un componente de la infraestructura de Google Cloud que te permite almacenar y recuperar metadatos estructurados para los recursos de Google Cloud. En varias fases del proceso de lanzamiento, las personas o los sistemas automatizados pueden agregar metadatos que describan el resultado de una actividad. Por ejemplo, puedes agregar metadatos a tu imagen para indicar que aprobó un paquete de pruebas de integración o un análisis de vulnerabilidades.
Con Artifact Analysis integrado en tu canalización de CI/CD, puedes tomar decisiones basadas en esos metadatos. Por ejemplo, puedes usar la autorización binaria para crear políticas de implementación que solo permitan implementaciones de imágenes compatibles de registros de confianza.
Artifact Analysis asocia metadatos con imágenes a través de notas y casos. Para obtener más información sobre estos conceptos, consulta la página de administración de metadatos.
Si usas Artifact Analysis con Container Registry, ambos productos usan las mismas APIs de Artifact Analysis y los mismos temas de Pub/Sub. Sin embargo, las funciones más recientes de Artifact Analysis solo están disponibles para Artifact Registry. Consulta cómo realizar la transición desde Container Registry para obtener más información.
Si deseas obtener más información sobre el uso de Artifact Analysis para la administración de metadatos y los costos del servicio opcional de análisis de vulnerabilidades, consulta la documentación de Artifact Analysis.