Container Analysis y análisis de vulnerabilidades

Container Analysis proporciona análisis de vulnerabilidades y almacenamiento de metadatos para contenedores. El servicio de análisis realiza análisis de vulnerabilidades en imágenes de Artifact Registry y Container Registry. Luego, almacena los metadatos resultantes y los pone a disposición del consumidor mediante una API. El almacenamiento de metadatos te permite almacenar información de diferentes fuentes, incluidos el análisis de vulnerabilidades, los servicios de Google Cloud y los proveedores de terceros.

Container Analysis como API de información estratégica

En el contexto de tu canalización de CI/CD, Container Analysis se puede integrar para almacenar metadatos sobre tu proceso de implementación y tomar decisiones basadas en esos metadatos.

En varias fases del proceso de lanzamiento, las personas o los sistemas automatizados pueden agregar metadatos que describen el resultado de una actividad. Por ejemplo, puedes agregar metadatos a la imagen para indicar que aprobó un conjunto de pruebas de integración o un análisis de vulnerabilidades.

Container Analysis en CI/CD

Figura 1. Diagrama que muestra Container Analysis como un componente de canalización de CI/CD que interactúa con metadatos en las etapas de origen, compilación, almacenamiento e implementación, así como en entornos de ejecución.

El análisis de vulnerabilidades puede realizarse de forma automática o según demanda:

  • Cuando el análisis automático está habilitado, el análisis se activa de forma automática cada vez que envías una imagen nueva a Artifact Registry o Container Registry. La información de vulnerabilidad se actualiza continuamente cuando se descubren nuevas vulnerabilidades.

  • Cuando el análisis a pedido está habilitado, debes ejecutar un comando para analizar una imagen local o una imagen en Artifact Registry o Container Registry. On-Demand Scanning te brinda más flexibilidad para analizar contenedores. Por ejemplo, puedes analizar una imagen compilada de forma local y solucionar vulnerabilidades antes de almacenarla en un registro.

    Los resultados del análisis están disponibles hasta 48 horas después de que se completa el análisis y la información de vulnerabilidad no se actualiza después del análisis.

Con Container Analysis integrado en tu canalización de CI/CD, puedes tomar decisiones basadas en esos metadatos. Por ejemplo, puedes usar la autorización binaria a fin de crear políticas de implementación que solo permitan implementaciones para imágenes que cumplan con los requisitos de registros de confianza.

Si actualmente usas Container Analysis con Container Registry, ambos productos usan las mismas API de Container Analysis y los temas de Pub/Sub. Consulta la documentación sobre la transición desde Container Registry para obtener más información.

Si deseas obtener información sobre el uso de Container Analysis y los costos del servicio opcional de análisis de vulnerabilidades, consulta la documentación de Container Analysis.