Artifact Analysis est une famille de services qui permettent d'analyser la composition des logiciels, ainsi que de stocker et de récupérer des métadonnées. Ses points de détection sont intégrés à plusieurs produits Google Cloud tels qu'Artifact Registry et Google Kubernetes Engine (GKE) pour une activation rapide. Ce service fonctionne à la fois avec les produits propriétaires de Google Cloud et vous permet de stocker des informations provenant de sources tierces. Les services d'analyse s'appuient sur un magasin de failles commun pour mettre en correspondance les fichiers avec les failles connues.
Ce service était auparavant appelé Container Analysis. Ce nouveau nom ne modifie pas les produits ni les API existants, mais reflète la gamme élargie de fonctionnalités du produit, qui vont au-delà des conteneurs.
Figure 1 : Schéma illustrant la création par Artifact Analysis de métadonnées et leur interaction dans les environnements source, de compilation, de stockage, de déploiement et d'exécution
Analyse et analyse
Analyse automatique
- Le processus d'analyse est déclenché automatiquement chaque fois que vous transférez une nouvelle image vers Artifact Registry ou Container Registry (obsolète). Les informations sur les failles sont mises à jour en continu lorsque de nouvelles failles sont découvertes. Artifact Registry inclut l'analyse des packages de langage d'application. Pour commencer, activez l'analyse automatique.
Analyse des failles des charges de travail GKE – Niveau Standard
- Dans le cadre du tableau de bord de stratégie de sécurité GKE, l'analyse des failles des charges de travail permet de détecter les vulnérabilités du système d'exploitation des images de conteneurs. L'analyse est gratuite et peut être activée par cluster. Les résultats peuvent être consultés dans le tableau de bord de stratégie de sécurité.
Analyse des failles des charges de travail GKE – Advanced Vulnerability Insights
- En plus de l'analyse de base de l'OS des conteneurs, les utilisateurs de GKE peuvent passer à Advanced Vulnerability Insights pour bénéficier de la détection continue des failles des packages de langage. Vous devez activer manuellement cette fonctionnalité sur vos clusters. Vous recevrez ensuite les résultats concernant les failles du système d'exploitation et des packages de langage. Apprenez-en plus sur l'analyse des failles dans les charges de travail GKE.
Analyse à la demande
- Ce service n'est pas continu. Vous devez exécuter une commande pour lancer manuellement l'analyse. Les résultats d'analyse sont disponibles jusqu'à 48 heures après la fin de l'analyse. Les informations sur les failles ne sont pas mises à jour une fois l'analyse terminée. Vous pouvez analyser des images stockées localement sans avoir à les transférer au préalable dans les environnements d'exécution Artifact Registry, Container Registry ou GKE. Pour en savoir plus, consultez la section Analyse à la demande.
Métadonnées d'accès
Artifact Analysis est un composant d'infrastructure Google Cloud qui vous permet de stocker et de récupérer des métadonnées structurées pour les ressources Google Cloud. À différentes phases de votre processus de publication, des personnes ou des systèmes automatisés peuvent ajouter des métadonnées décrivant le résultat d'une activité. Par exemple, vous pouvez ajouter à votre image des métadonnées indiquant qu'elle a réussi une suite de tests d'intégration ou une analyse des failles.
Grâce à l'intégration d'Artifact Analysis à votre pipeline CI/CD, vous pouvez prendre des décisions basées sur ces métadonnées. Par exemple, vous pouvez utiliser l'autorisation binaire pour créer des stratégies de déploiement qui n'autorisent les déploiements que pour des images conformes provenant de registres de confiance.
Artifact Analysis associe des métadonnées aux images via des notes et des occurrences. Pour en savoir plus sur ces concepts, consultez la page de gestion des métadonnées.
Si vous utilisez Artifact Analysis avec Container Registry, les mêmes API Artifact Analysis et sujets Pub/Sub sont utilisés par les deux produits. Toutefois, les dernières fonctionnalités d'Artifact Analysis ne sont disponibles que pour Artifact Registry. Pour en savoir plus, découvrez comment effectuer la transition depuis Container Registry.
Pour en savoir plus sur l'utilisation d'Artifact Analysis pour la gestion des métadonnées et sur le coût du service facultatif d'analyse des failles, consultez la documentation d'Artifact Analysis.