Artifact Analysis est une famille de services qui fournit une analyse de composition logicielle, ainsi que le stockage et la récupération de métadonnées. Ses points de détection sont intégrés à un certain nombre de produits Google Cloud, tels qu'Artifact Registry et Google Kubernetes Engine (GKE), pour une activation rapide. Ce service fonctionne avec les deux produits propriétaires de Google Cloud et vous permet également de stocker des informations provenant de sources tierces. Les services d'analyse exploitent un magasin de failles courant pour mettre en correspondance les fichiers avec les failles connues.
Ce service était auparavant connu sous le nom de Container Analysis. Le nouveau nom ne modifie pas les produits ni les API existants, mais reflète la gamme de fonctionnalités élargie du produit, au-delà des conteneurs.
Figure 1 : Schéma illustrant la création et l'interaction d'Artifact Analysis avec les métadonnées dans les environnements source, de compilation, de stockage, de déploiement et d'exécution
Analyse et analyse
Analyse automatique
- Le processus d'analyse se déclenche automatiquement chaque fois que vous transférez une nouvelle image vers Artifact Registry ou Container Registry (obsolète). Les informations sur les failles sont mises à jour en continu lorsque de nouvelles failles sont découvertes. Artifact Registry inclut l'analyse du package de langage de l'application. Pour commencer, activez l'analyse automatique.
Analyse des failles des charges de travail GKE – Niveau Standard
- Dans le tableau de bord de la stratégie de sécurité GKE, l'analyse des failles des charges de travail permet de détecter les failles du système d'exploitation des images de conteneurs. L'analyse est gratuite et peut être activée pour chaque cluster. Les résultats sont disponibles dans le tableau de bord de stratégie de sécurité.
Analyse des failles des charges de travail GKE : insights avancés sur les failles
- En plus de l'analyse de base de l'OS des conteneurs, les utilisateurs de GKE peuvent passer à Advanced Vulnerability Insights pour bénéficier de la détection continue des failles des packages de langage. Vous devez activer manuellement cette fonctionnalité sur vos clusters. Vous recevrez ensuite des résultats concernant les failles du système d'exploitation et du package de langage. Apprenez-en plus sur l'analyse des failles dans les charges de travail GKE.
Analyse à la demande
- Ce service n'est pas continu. Vous devez exécuter une commande pour lancer l'analyse manuellement. Les résultats sont disponibles jusqu'à 48 heures après la fin de l'analyse. Les informations sur les failles ne sont pas mises à jour une fois l'analyse terminée. Vous pouvez analyser des images stockées localement, sans avoir à les transférer au préalable vers des environnements d'exécution Artifact Registry, Container Registry ou GKE. Pour en savoir plus, consultez la section Analyse à la demande.
Accéder aux métadonnées
Artifact Analysis est un composant d'infrastructure Google Cloud qui vous permet de stocker et de récupérer des métadonnées structurées pour les ressources Google Cloud. À différentes phases de votre processus de publication, des personnes ou des systèmes automatisés peuvent ajouter des métadonnées décrivant le résultat d'une activité. Par exemple, vous pouvez ajouter à votre image des métadonnées indiquant qu'elle a réussi une suite de tests d'intégration ou une analyse de failles.
Avec Artifact Analysis intégré à votre pipeline CI/CD, vous pouvez prendre des décisions sur la base de ces métadonnées. Par exemple, vous pouvez utiliser l'autorisation binaire pour créer des stratégies de déploiement qui n'autorisent que les déploiements d'images conformes provenant de registres de confiance.
Artifact Analysis associe des métadonnées aux images via des notes et des occurrences. Pour en savoir plus sur ces concepts, consultez la page de gestion des métadonnées.
Si vous utilisez Artifact Analysis avec Container Registry, les mêmes API Artifact Analysis et les mêmes sujets Pub/Sub sont utilisés par les deux produits. Toutefois, les dernières fonctionnalités d'Artifact Analysis ne sont disponibles que pour Artifact Registry. Pour en savoir plus, découvrez comment effectuer la transition depuis Container Registry.
Pour en savoir plus sur l'utilisation d'Artifact Analysis pour la gestion des métadonnées, ainsi que sur les coûts liés au service facultatif d'analyse des failles, consultez la documentation d'Artifact Analysis.