Artifact Analysis 是一系列服务,可提供软件构成分析、元数据存储和检索。其检测点内置于许多 Google Cloud 产品(例如 Artifact Registry 和 Google Kubernetes Engine (GKE))中,以实现快速启用。该服务既适用于 Google Cloud 的第一方产品,又允许您存储来自第三方来源的信息。扫描服务会利用常见的漏洞存储区,将文件与已知漏洞进行匹配。
此服务以前称为 Container Analysis。新名称不会更改现有的产品或 API,而是反映了产品在容器之外的功能范围。
图 1. 显示 Artifact Analysis 跨来源、构建、存储、部署和运行时环境创建元数据并与之交互的示意图。
扫描和分析
自动扫描
- 每次您将新映像推送到 Artifact Registry 或 Container Registry(已弃用)时,都会自动触发扫描过程。发现新漏洞时,漏洞信息会持续更新。Artifact Registry 包含应用语言软件包扫描功能。首先,请启用自动扫描。
GKE 工作负载漏洞扫描 - 标准层级
- 工作负载漏洞扫描是 GKE 安全状况信息中心的一部分,用于检测容器映像操作系统漏洞。扫描是免费的,可以为每个集群启用。您可以在安全状况信息中心中查看结果。
GKE 工作负载漏洞扫描 - Advanced Vulnerability Insights
- 除了基本的容器操作系统扫描之外,GKE 用户还可以升级到 Advanced Vulnerability Insights,以利用持续语言包漏洞检测功能。您必须在集群上手动启用此功能,之后您将收到操作系统和语言包漏洞结果。详细了解 GKE 工作负载中的漏洞扫描。
按需扫描
- 这项服务不是连续的;您必须运行命令才能手动启动扫描。在扫描完成后的 48 小时内可获得扫描结果。扫描完成后,漏洞信息不会更新。您可以扫描本地存储的映像,而无需先将其推送到 Artifact Registry、Container Registry 或 GKE 运行时。如需了解详情,请参阅按需扫描。
访问元数据
Artifact Analysis 是一个 Google Cloud 基础架构组件,可让您为 Google Cloud 资源存储和检索结构化元数据。在发布流程的各个阶段,人员或自动化系统可以添加描述 activity 结果的元数据。例如,您可以为映像添加元数据,表明映像已通过集成测试套件或漏洞扫描。
Artifact Analysis 集成到 CI/CD 流水线后,您可以根据这些元数据做出决策。例如,您可以使用 Binary Authorization 创建部署政策,仅允许部署可信注册表中的合规映像。
Artifact Analysis 通过“备注”和“发生实例”将元数据与图片相关联。如需详细了解这些概念,请参阅元数据管理页面。
如果您将 Artifact Analysis 与 Container Registry 搭配使用,则这两种产品会使用相同的 Artifact Analysis API 和 Pub/Sub 主题。但是,最新的 Artifact Analysis 功能仅适用于 Artifact Registry。如需了解详情,请了解如何从 Container Registry 转换。
如需了解如何使用 Artifact Analysis 进行元数据管理以及该可选漏洞扫描服务的费用,请参阅 Artifact Analysis 文档。