Die Artefaktanalyse ist eine Familie von Diensten, die die Analyse der Softwarezusammensetzung sowie das Speichern und Abrufen von Metadaten ermöglichen. Die Erkennungspunkte sind zur schnellen Aktivierung in eine Reihe von Google Cloud-Produkten wie Artifact Registry und Google Kubernetes Engine (GKE) eingebunden. Der Dienst funktioniert sowohl mit den Erstanbieterprodukten von Google Cloud als auch mit der Möglichkeit, Informationen aus externen Quellen zu speichern. Die Scandienste nutzen einen gemeinsamen Speicher für Sicherheitslücken, um Dateien mit bekannten Sicherheitslücken abzugleichen.
Dieser Dienst hieß früher Container Analysis. Der neue Name ändert keine vorhandenen Produkte oder APIs, sondern spiegelt den wachsenden Funktionsumfang des Produkts über Container hinaus wider.
Abbildung 1. Diagramm, das zeigt, wie die Artefaktanalyse Metadaten in Quell-, Build-, Speicher-, Bereitstellungs- und Laufzeitumgebungen erstellt und mit ihnen interagiert.
Scans und Analyse
Automatischer Scan
- Der Scanvorgang wird jedes Mal automatisch ausgelöst, wenn Sie ein neues Image per Push an Artifact Registry oder Container Registry übertragen (eingestellt). Die Informationen zu Sicherheitslücken werden kontinuierlich aktualisiert, wenn neue Sicherheitslücken entdeckt werden. Artifact Registry umfasst das Scannen von Anwendungssprachenpaketen. Aktivieren Sie zuerst das automatische Scannen.
Scannen von GKE-Arbeitslasten auf Sicherheitslücken – Standardstufe
- Im Rahmen des GKE-Dashboards für den Sicherheitsstatus erkennt das Scannen auf Sicherheitslücken von Arbeitslasten Betriebssystem-Sicherheitslücken in Container-Images. Das Scannen ist kostenlos und kann pro Cluster aktiviert werden. Die Ergebnisse können im Dashboard für den Sicherheitsstatus angesehen werden.
Scannen von GKE-Arbeitslasten auf Sicherheitslücken – Advanced Vulnerability Insights
- Zusätzlich zum einfachen Scannen des Containerbetriebssystems können GKE-Nutzer ein Upgrade auf Advanced Vulnerability Insights durchführen, um von der kontinuierlichen Erkennung von Sicherheitslücken in Sprachpaketen zu profitieren. Sie müssen dieses Feature manuell in Ihren Clustern aktivieren. Danach erhalten Sie Ergebnisse zu Sicherheitslücken in Betriebssystem- und Sprachpaketen. Weitere Informationen zum Scannen auf Sicherheitslücken in GKE-Arbeitslasten
On-Demand-Scanning
- Dieser Dienst ist nicht kontinuierlich. Sie müssen einen Befehl ausführen, um den Scan manuell zu starten. Scanergebnisse sind bis zu 48 Stunden nach Abschluss des Scans verfügbar. Die Informationen zu Sicherheitslücken werden nach Abschluss des Scans nicht aktualisiert. Sie können lokal gespeicherte Images scannen, ohne sie zuerst per Push in Artifact Registry-, Container Registry- oder GKE-Laufzeiten hochladen zu müssen. Weitere Informationen finden Sie unter On-Demand-Scans.
Auf Metadaten zugreifen
Die Artefaktanalyse ist eine Google Cloud-Infrastrukturkomponente, mit der Sie strukturierte Metadaten für Google Cloud-Ressourcen speichern und abrufen können. In verschiedenen Phasen des Release-Prozesses können Personen oder automatisierte Systeme Metadaten hinzufügen, die das Ergebnis einer Aktivität beschreiben. Beispielsweise können Sie einem Image Metadaten hinzufügen, die angeben, dass es eine Integrationstestsuite oder einen Scan auf Sicherheitslücken bestanden hat.
Wenn die Artefaktanalyse in Ihre CI/CD-Pipeline eingebunden ist, können Sie Entscheidungen anhand dieser Metadaten treffen. Mit der Binärautorisierung können Sie beispielsweise Bereitstellungsrichtlinien erstellen, die nur Bereitstellungen für konforme Images aus vertrauenswürdigen Registrys zulassen.
Bei der Artefaktanalyse werden Metadaten über Hinweise und Vorkommen mit Images verknüpft. Weitere Informationen zu diesen Konzepten finden Sie auf der Seite Metadatenverwaltung.
Wenn Sie die Artefaktanalyse mit Container Registry verwenden, werden von beiden Produkten dieselben Artifact Analysis APIs und Pub/Sub-Themen verwendet. Die neuesten Artefaktanalysefunktionen sind jedoch nur für Artifact Registry verfügbar. Weitere Informationen zur Umstellung von Container Registry.
Informationen zur Verwendung der Artefaktanalyse für die Metadatenverwaltung und zu den Kosten für den optionalen Dienst zum Scannen auf Sicherheitslücken finden Sie in der Dokumentation zur Artefaktanalyse.