Die Artefaktanalyse umfasst eine Reihe von Diensten, sowie die Analyse von Kompositionen, das Speichern und Abrufen von Metadaten. Die Erkennungsstellen sind in einer Reihe von Google Cloud-Produkten wie Artifact Registry und Google Kubernetes Engine (GKE) integriert, um eine schnelle Aktivierung zu ermöglichen. Der Dienst ist kompatibel mit Erstanbieterprodukte von Google Cloud und Informationen aus externen Quellen. Die Scandienste nutzen einen gemeinsamen Sicherheitslückenspeicher, um Dateien mit bekannten Sicherheitslücken abzugleichen.
Dieser Dienst hieß früher Container Analysis. Der neue Name bestehende Produkte oder APIs zu ändern, aber spiegelt aber die wachsende und Funktionen, die über Container hinausgehen.
Abbildung 1. Diagramm, das zeigt, wie die Artefaktanalyse erstellt und interagiert mit Metadaten für Quelle, Build, Speicher, Bereitstellung und Laufzeit Umgebungen.
Scannen und Analyse
Automatisches Scannen
- Der Scanvorgang wird jedes Mal automatisch ausgelöst, wenn Sie ein neues Image in Artifact Registry oder Container Registry hochladen (veraltet). Die Informationen zu Sicherheitslücken werden kontinuierlich aktualisiert, wenn neue Sicherheitslücken entdeckt werden. Artifact Registry enthält die Anwendungssprache das Scannen von Paketen. Aktivieren Sie zuerst automatischen Scans aus.
Scannen von GKE-Arbeitslasten auf Sicherheitslücken – Standardstufe
- Im Rahmen des GKE-Sicherheitsstatus-Dashboards können Sie mit dem Scannen von Arbeitslasten auf Sicherheitslücken Betriebssystemlücken von Container-Images erkennen. Das Scannen ist kostenlos und kann pro Cluster aktiviert werden. Die Ergebnisse sind im Dashboard für den Sicherheitsstatus verfügbar.
Scannen von GKE-Arbeitslasten auf Sicherheitslücken – Advanced Vulnerability Insights
- Zusätzlich zum grundlegenden Scannen des Containerbetriebssystems können GKE-Nutzer ein Upgrade auf erweiterte Informationen zu Sicherheitslücken ausführen, um die kontinuierliche Erkennung von Sicherheitslücken in Sprachpaketen zu nutzen. Sie müssen es manuell aktivieren dieses Feature in Ihren Clustern. Danach erhalten Sie das Betriebssystem und für Pakete. Weitere Informationen zum Scannen auf Sicherheitslücken in GKE-Arbeitslasten
On-Demand-Scanning
- Dieser Service ist nicht kontinuierlich. müssen Sie einen Befehl ausführen, den Scan durchführen. Die Ergebnisse des Scans sind bis zu 48 Stunden nach dem abgeschlossen. Die Informationen zu Sicherheitslücken werden nach dem Scan nicht aktualisiert. Sie können lokal gespeicherte Bilder scannen, ohne sie per Push übertragen zu müssen. Artifact Registry-, Container Registry- oder GKE-Laufzeiten zuerst. Bis Weitere Informationen finden Sie unter On-Demand-Scans.
Auf Metadaten zugreifen
Die Artefaktanalyse ist eine Google Cloud-Infrastruktur Komponente, mit der Sie Strukturierte Metadaten für Google Cloud speichern und abrufen Ressourcen. In den verschiedenen Phasen des Freigabeprozesses, Systeme Metadaten hinzufügen, die das Ergebnis einer Aktivität beschreiben. Für können Sie Ihrem Bild beispielsweise Metadaten hinzufügen, die angeben, dass ein oder einen Scan auf Sicherheitslücken.
Wenn Artifact Analysis in Ihre CI/CD-Pipeline eingebunden ist, können Sie auf der Grundlage dieser Metadaten Entscheidungen treffen. So können Sie beispielsweise Binärautorisierung zum Erstellen von Bereitstellungsrichtlinien die nur Bereitstellungen für konforme Images aus vertrauenswürdigen Registrys ermöglichen.
Die Artefaktanalyse verknüpft Metadaten unter Einsatz von Hinweisen und Vorgängen zu Images. Weitere Informationen zu diesen Konzepten finden Sie in der auf der Seite zur Metadatenverwaltung.
Wenn Sie Artifact Analysis mit Container Registry verwenden, werden für beide Produkte dieselben Artifact Analysis APIs und Pub/Sub-Themen verwendet. Die neuesten Funktionen der Artefaktanalyse sind jedoch nur für Artifact Registry verfügbar. Hier erfahren Sie, wie Sie Umstellung von Container Registry .
Weitere Informationen zur Verwendung der Artefaktanalyse für die Metadatenverwaltung und zu den Kosten für den optionalen Dienst zum Scannen auf Sicherheitslücken finden Sie in der Artefaktanalyse-Dokumentation.