O Artifact Analysis é uma família de serviços que fornecem análise de composição, armazenamento e recuperação de metadados. Seus pontos de detecção são integrada a vários produtos do Google Cloud, como o Artifact Registry e Google Kubernetes Engine (GKE) para ativação rápida. O serviço funciona com produtos próprios do Google Cloud e também permite armazenar informações de fontes de terceiros. Os serviços de verificação usam um repositório de vulnerabilidades comum para fazer a correspondência entre arquivos de vulnerabilidades conhecidas.
Esse serviço era conhecido como Container Analysis. O novo nome não alterar produtos ou APIs existentes, mas reflete a gama cada vez maior de recursos recursos além dos contêineres.
Figura 1. Diagrama que mostra o Artifact Analysis criando e interagindo com metadados de origem, build, armazenamento, implantação e ambiente de execução e ambientes de teste.
Verificação e análise
Verificação automática
- O processo de verificação é acionado automaticamente sempre que você envia um novo imagem para o Artifact Registry ou o Container Registry (descontinuado). As informações de vulnerabilidade são atualizadas continuamente quando novas vulnerabilidades são descobertas. O Artifact Registry inclui a verificação de pacotes de linguagem de aplicativos. Para começar, ative verificação automática.
Verificação de vulnerabilidades de carga de trabalho do GKE: nível Standard
- No painel de postura de segurança do GKE, a verificação de vulnerabilidades fornece a detecção do SO da imagem do contêiner vulnerabilidades. A verificação é gratuita e pode ser ativada por cluster. Os resultados estão disponíveis no painel de postura de segurança.
Verificação de vulnerabilidades de cargas de trabalho do GKE: insights avançados sobre vulnerabilidades
- Além da verificação básica do SO do contêiner, os usuários do GKE podem fazer upgrade para o Advanced Vulnerability Insights para aproveitar e detecção contínua de vulnerabilidade do pacote de linguagens. É necessário ativar manualmente esse recurso nos clusters. Depois, você vai receber informações sobre SO e os resultados da vulnerabilidade do pacote. Saiba mais sobre verificação de vulnerabilidades em cargas de trabalho do GKE.
Verificação sob demanda
- Esse serviço não é contínuo; execute um comando para iniciar manualmente da verificação. Os resultados da verificação ficam disponíveis até 48 horas após ela ser concluído. As informações de vulnerabilidade não são atualizadas após a verificação ser concluída concluído. É possível verificar imagens armazenadas localmente, sem ter que enviá-las para primeiro nos ambientes de execução do Artifact Registry, Container Registry ou GKE. Para saber mais, consulte Verificação sob demanda.
Acessar metadados
O Artifact Analysis é um componente de infraestrutura do Google Cloud que permite armazenar e recuperar metadados estruturados para recursos do Google Cloud. Em várias fases do processo de lançamento, pessoas ou processos os sistemas podem adicionar metadados que descrevem o resultado de uma atividade. Por exemplo, você pode adicionar metadados à sua imagem indicando que ela passou por um pacote de teste de integração ou por uma verificação de vulnerabilidade.
Com o Artifact Analysis integrado ao pipeline de CI/CD, é pode tomar decisões com base nesses metadados. Por exemplo, é possível usar Autorização binária para criar políticas de implantação que só permitem implantações de imagens em conformidade de registros confiáveis.
O Artifact Analysis associa metadados a imagens usando notas e ocorrências. Para saber mais sobre esses conceitos, consulte a página de gerenciamento de metadados.
Se você estiver usando o Artifact Analysis com Container Registry, as mesmas APIs do Artifact Analysis Os tópicos do Pub/Sub são usados pelos dois produtos. No entanto, o mais novo Os recursos do Artifact Analysis estão disponíveis apenas para o Artifact Registry. Saiba como transição do Container Registry para mais informações.
aprender a usar o Artifact Analysis para gerenciamento de metadados; para o serviço opcional de verificação de vulnerabilidades, consulte a Documentação do Artifact Analysis.