Artifact Analysis es una familia de servicios que proporcionan análisis de composición del software, almacenamiento y recuperación de metadatos. Sus puntos de detección están integrados en varios productos de Google Cloud, como Artifact Registry y Google Kubernetes Engine (GKE), para una habilitación rápida. El servicio funciona con los productos propios de Google Cloud y también te permite almacenar información de fuentes de terceros. Los servicios de análisis aprovechan un almacén de vulnerabilidades común para hacer coincidir los archivos con vulnerabilidades conocidas.
Este servicio se conocía anteriormente como Container Analysis. El nombre nuevo no cambia los productos o las APIs existentes, pero refleja la gama en expansión de funciones del producto más allá de los contenedores.
Figura 1. Diagrama en el que se muestra que Artifact Analysis crea y también interactúa con metadatos en entornos de origen, compilación, almacenamiento, implementación y entorno de ejecución.
Análisis y análisis
Búsqueda automática
- El proceso de análisis se activa automáticamente cada vez que envías una imagen nueva a Artifact Registry o Container Registry (obsoleta). La información de las vulnerabilidades se actualiza de forma continua cuando se descubren nuevas vulnerabilidades. Artifact Registry incluye el análisis de paquetes de lenguaje de aplicación. Para comenzar, habilita el análisis automático.
Análisis de vulnerabilidades de las cargas de trabajo de GKE (nivel Estándar)
- Como parte del panel de postura de seguridad de GKE, el análisis de vulnerabilidades de las cargas de trabajo proporciona detección de vulnerabilidades del SO de la imagen de contenedor. El análisis es gratuito y se puede habilitar por clúster. Los resultados están disponibles para verlos en el panel de postura de seguridad.
Análisis de vulnerabilidades de las cargas de trabajo de GKE: estadísticas avanzadas de vulnerabilidades
- Además del análisis básico del SO de los contenedores, los usuarios de GKE pueden actualizar a las estadísticas avanzadas de vulnerabilidades para aprovechar la detección continua de vulnerabilidades de los paquetes de lenguaje. Debes habilitar esta función de forma manual en tus clústeres, después de lo cual recibirás resultados de vulnerabilidad de paquetes de idioma y SO. Obtén más información sobre el análisis de vulnerabilidades en las cargas de trabajo de GKE.
Análisis a pedido
- Este servicio no es continuo; debes ejecutar un comando para iniciar el análisis de forma manual. Los resultados del análisis están disponibles hasta 48 horas después de que se completa. La información sobre la vulnerabilidad no se actualiza una vez que finaliza el análisis. Puedes analizar las imágenes almacenadas de forma local sin tener que enviarlas primero a los entornos de ejecución de Artifact Registry, Container Registry o GKE. Para obtener más información, consulta el análisis a pedido.
Acceso a los metadatos
Artifact Analysis es un componente de la infraestructura de Google Cloud que te permite almacenar y recuperar metadatos estructurados para los recursos de Google Cloud. En varias fases del proceso de lanzamiento, las personas o los sistemas automatizados pueden agregar metadatos que describan el resultado de una actividad. Por ejemplo, puedes agregar metadatos a tu imagen que indiquen que aprobó un paquete de pruebas de integración o un análisis de vulnerabilidades.
Con Artifact Analysis integrado en la canalización de CI/CD, puedes tomar decisiones en función de esos metadatos. Por ejemplo, puedes usar la autorización binaria para crear políticas de implementación que solo permitan implementaciones de imágenes compatibles de registros de confianza.
Artifact Analysis asocia los metadatos con las imágenes a través de notas y casos. Para obtener más información sobre estos conceptos, consulta la página de administración de metadatos.
Si usas Artifact Analysis con Container Registry, ambos productos usan las mismas APIs de Artifact Analysis y temas de Pub/Sub. Sin embargo, las funciones más recientes de Artifact Analysis solo están disponibles para Artifact Registry. Obtén más información sobre la transición desde Container Registry.
Si quieres obtener información sobre el uso de Artifact Analysis para la administración de metadatos y los costos del servicio opcional de análisis de vulnerabilidades, consulta la documentación de Artifact Analysis.