Aidez-nous à améliorer le service de livraison de logiciels et faites entendre votre voix en répondant à l'enquête sur l'état du DevOps en 2021.

Container Analysis et l'analyse des failles

Container Analysis permet d'analyser les failles et de stocker les métadonnées des conteneurs via Container Analysis. Le service d'analyse effectue des analyses des failles sur des images dans Artifact Registry et Container Registry, puis stocke les métadonnées obtenues et les met à disposition du grand public via une API. Le stockage de métadonnées permet de stocker des informations provenant de différentes sources, y compris l'analyse des failles, d'autres services Google Cloud et des fournisseurs tiers.

Container Analysis en tant qu'API d'information stratégique

Dans le contexte de votre pipeline CI/CD, Container Analysis peut être intégré pour stocker des métadonnées sur votre processus de déploiement et prendre des décisions basées sur ces métadonnées.

À différentes phases du processus de publication, des personnes ou des systèmes automatisés peuvent ajouter des métadonnées décrivant le résultat d'une activité. Par exemple, vous pouvez ajouter à votre image des métadonnées indiquant qu'elle a passé une suite de tests d'intégration ou une analyse des failles.

Container Analysis dans CI/CD

Figure 1 : Schéma illustrant Container Analysis en tant que composant de pipeline CI/CD qui interagit avec les métadonnées lors des étapes de collecte, de compilation, de stockage et de déploiement, ainsi que dans les environnements d'exécution.

L'analyse des failles peut être réalisée automatiquement ou à la demande:

  • Lorsque l'analyse automatique est activée, l'analyse se déclenche automatiquement chaque fois que vous transférez une image dans Container Registry ou Container Registry. Les informations sur les failles sont mises à jour en continu lorsque de nouvelles failles sont découvertes.

  • Lorsque l'analyse à la demande est activée, vous devez exécuter une commande pour analyser une image locale ou une image dans Container Registry ou Container Registry. L'analyse à la demande vous offre plus de flexibilité lorsque vous analysez des conteneurs. Par exemple, vous pouvez analyser une image créée en local et corriger les failles avant de la stocker dans un registre.

    Les résultats de l'analyse sont disponibles jusqu'à 48 heures après la fin de l'analyse. Les informations sur les failles ne sont pas mises à jour après l'analyse.

Une fois Container Analysis intégré à votre pipeline CI/CD, vous pouvez prendre des décisions en fonction de ces métadonnées. Par exemple, vous pouvez utiliser l'autorisation binaire pour créer des règles de déploiement en n'autorisant que les déploiements pour des images conformes à des registres de confiance.

Si vous utilisez actuellement Container Analysis avec Container Registry, ces deux produits utilisent les mêmes API Container Analysis et sujets Pub/Sub. Consultez la documentation sur la transition depuis Container Registry pour plus d'informations.

Pour en savoir plus sur l'utilisation de Container Analysis et les coûts associés au service facultatif d'analyse des failles, consultez la documentation de Container Analysis.