Gestalten Sie die Zukunft der Softwarebereitstellung und tragen Sie Ihre Stimme durch. Nehmen Sie dazu den 2021 der DevOps-Umfrage an.

Container Analysis und Scannen auf Sicherheitslücken

Container Analysis bietet Scannen auf Sicherheitslücken und Metadatenspeicher für Container. Der Scandienst führt Scans auf Sicherheitslücken für Images in Artifact Registry und Container Registry durch, speichert die resultierenden Metadaten und stellt sie über eine API zur Verfügung. Die Speicherung von Metadaten ermöglicht die Speicherung von Informationen aus verschiedenen Quellen, einschließlich das Scannen auf Sicherheitslücken, anderen Cloud-Diensten und Drittanbietern.

Container Analysis als strategische Informations-API

Im Kontext Ihrer CI/CD-Pipeline kann Container Analysis eingebunden werden, um Metadaten zu Ihrem Bereitstellungsprozess zu speichern und Entscheidungen anhand dieser Metadaten zu treffen.

In verschiedenen Phasen des Releaseprozesses können Personen oder automatisierte Systeme Metadaten hinzufügen, die das Ergebnis einer Aktivität beschreiben. Beispielsweise können Sie Ihrem Image Metadaten hinzufügen, die angeben, dass es einen Integrations-Testsuite oder einen Scan auf Sicherheitslücken bestanden hat.

Container Analysis in CI/CD

Abbildung 1. Diagramm, das die Container-Analyse als CI/CD-Pipeline-Komponente zeigt, die mit Metadaten über Quell-, Build-, Speicher- und Bereitstellungsphasen sowie Laufzeitumgebungen hinweg interagiert.

Das Scannen auf Sicherheitslücken kann automatisch oder on demand erfolgen:

  • Wenn automatisches Scan aktiviert ist, werden Scanvorgänge jedes Mal automatisch ausgelöst, wenn Sie ein neues Image in Artifact Registry oder Container Registry hochladen. Informationen zu Sicherheitslücken werden kontinuierlich aktualisiert, wenn neue Sicherheitslücken entdeckt werden.

  • Wenn On-Demand-Suche aktiviert ist, müssen Sie einen Befehl ausführen, um ein lokales Image oder ein Image in Artifact Registry oder Container Registry zu scannen. Beim On-Demand-Scan sind Sie beim Scannen von Containern flexibler. Sie haben beispielsweise die Möglichkeit, ein lokal erstelltes Image zu scannen und Sicherheitslücken zu beheben, bevor Sie es in einer Registry speichern.

    Die Scanergebnisse sind bis zu 48 Stunden nach Abschluss des Scans verfügbar. Informationen zu Sicherheitslücken werden nach dem Scan nicht aktualisiert.

Durch das Einbinden von Container Analysis in Ihre CI-/CD-Pipeline können Sie auf der Grundlage dieser Metadaten Entscheidungen treffen. Mit der Binärautorisierung können Sie beispielsweise Bereitstellungsrichtlinien erstellen, die nur Bereitstellungen für konforme Images von vertrauenswürdigen Registrys zulassen.

Wenn Sie derzeit Container Analysis mit Container Registry verwenden, werden für beide Produkte die gleichen Container Analysis APIs und Pub/Sub-Themen verwendet. Weitere Informationen finden Sie in der Dokumentation zur Umstellung von Container Registry.

Weitere Informationen zur Verwendung von Container Analysis und den Kosten für das optionale Scannen auf Sicherheitslücken finden Sie in der Dokumentation zur Container Analysis.