Análise de artefatos e verificação de vulnerabilidades

O Artifact Analysis é uma família de serviços que fornecem análise de composição de software, armazenamento de metadados e recuperação. Os pontos de detecção são integrados a vários produtos do Google Cloud, como o Artifact Registry e o Google Kubernetes Engine (GKE), para uma ativação rápida. O serviço funciona com os produtos próprios do Google Cloud e também permite armazenar informações de fontes de terceiros. Os serviços de verificação usam um armazenamento de vulnerabilidades comum para fazer a correspondência de arquivos com vulnerabilidades conhecidas.

Esse serviço era conhecido como Container Analysis. O novo nome não altera produtos ou APIs existentes, mas reflete a crescente variedade de recursos além dos contêineres.

Artifact Analysis em CI/CD

Figura 1. Diagrama que mostra o Artifact Analysis criando e interagindo com metadados nos ambientes de origem, build, armazenamento, implantação e ambiente de execução.

Verificação e análise

Verificação automática

  • O processo de verificação é acionado automaticamente sempre que você envia uma nova imagem para o Artifact Registry ou Container Registry (descontinuado). Essas informações são atualizadas continuamente quando novas vulnerabilidades são descobertas. O Artifact Registry inclui a verificação de pacotes da linguagem do aplicativo. Para começar, ative a verificação automática.

Verificação de vulnerabilidades de carga de trabalho do GKE: nível Standard

  • Como parte do painel de postura de segurança do GKE, a verificação de vulnerabilidades da carga de trabalho fornece detecção de vulnerabilidades do SO da imagem do contêiner. A verificação é gratuita e pode ser ativada por cluster. Os resultados estão disponíveis para visualização no painel de postura de segurança.

Verificação de vulnerabilidades de cargas de trabalho do GKE: insights avançados sobre vulnerabilidades

  • Além da verificação básica do SO do contêiner, os usuários do GKE podem fazer upgrade para insights avançados sobre vulnerabilidade e aproveitar a detecção contínua de vulnerabilidades nos pacotes de idiomas. Ative esse recurso manualmente nos clusters para receber resultados de vulnerabilidade do SO e do pacote de idiomas. Saiba mais sobre a verificação de vulnerabilidades em cargas de trabalho do GKE.

Verificação sob demanda

  • Esse serviço não é contínuo. É preciso executar um comando para iniciar a verificação manualmente. Os resultados da verificação ficam disponíveis até 48 horas após a conclusão dela. Essas informações não são atualizadas após a conclusão da verificação. É possível verificar as imagens armazenadas localmente, sem precisar enviá-las para os ambientes de execução do Artifact Registry, Container Registry ou GKE primeiro. Para saber mais, consulte Verificação sob demanda.

Acessar metadados

  • O Artifact Analysis é um componente de infraestrutura do Google Cloud que permite armazenar e recuperar metadados estruturados para recursos do Google Cloud. Em várias fases do processo de lançamento, pessoas ou sistemas automatizados podem adicionar metadados que descrevem o resultado de uma atividade. Por exemplo, é possível adicionar metadados à imagem indicando que ela passou em um conjunto de testes de integração ou em uma verificação de vulnerabilidades.

  • Com o Artifact Analysis integrado ao pipeline de CI/CD, é possível tomar decisões com base nesses metadados. Por exemplo, é possível usar a autorização binária para criar políticas de implantação que permitam apenas implantações de imagens compatíveis de registros confiáveis.

  • O Artifact Analysis associa metadados a imagens usando observações e ocorrências. Para saber mais sobre esses conceitos, consulte a página de gerenciamento de metadados.

Se você estiver usando o Artifact Analysis com o Container Registry, as mesmas APIs do Artifact Analysis e tópicos do Pub/Sub serão usados pelos dois produtos. No entanto, os recursos mais recentes do Artifact Analysis estão disponíveis apenas para o Artifact Registry. Saiba como fazer a transição do Container Registry para mais informações.

Para saber mais sobre como usar o Artifact Analysis para gerenciamento de metadados e os custos do serviço opcional de verificação de vulnerabilidades, consulte a documentação do Artifact Analysis.