Analisi degli elementi e analisi delle vulnerabilità

Artifact Analysis è una famiglia di servizi che fornisce software l'analisi della composizione e l'archiviazione e il recupero dei metadati. I suoi punti di rilevamento integrati in una serie di prodotti Google Cloud, come Artifact Registry Google Kubernetes Engine (GKE) per l'abilitazione rapida. Il servizio funziona con sia i prodotti proprietari di Google Cloud, sia da fonti di terze parti. I servizi di scansione sfruttano un archivio di vulnerabilità per trovare i file corrispondenti alle vulnerabilità note.

Questo servizio in precedenza era noto come Analisi dei contenitori. Il nuovo nome non modifica le API o i prodotti esistenti, ma riflette l'ampliamento della gamma di funzionalità del prodotto oltre i contenitori.

Artifact Analysis in CI/CD

Figura 1. Diagramma che mostra Artifact Analysis mentre crea e interagisce con metadati relativi a origine, build, archiviazione, deployment e runtime ambienti cloud-native.

Scansione e analisi

Scansione automatica

  • Il processo di scansione viene attivato automaticamente ogni volta che esegui il push di un nuovo in Artifact Registry o Container Registry (ritirato). Le informazioni sulle vulnerabilità vengono aggiornate continuamente quando vengono scoperte nuove vulnerabilità. Artifact Registry include il linguaggio dell'applicazione scansione dei pacchi. Per iniziare, attiva la scansione automatica.

Analisi delle vulnerabilità dei carichi di lavoro GKE - livello standard

  • Nell'ambito della dashboard della strategia di sicurezza di GKE, il carico di lavoro l'analisi delle vulnerabilità consente di rilevare il sistema operativo delle immagini container le vulnerabilità. La scansione è gratuita e può essere attivata per cluster. I risultati possono essere visualizzati nella dashboard della postura di sicurezza.

Analisi delle vulnerabilità dei carichi di lavoro GKE: approfondimenti sulle vulnerabilità avanzate

  • Oltre alla scansione di base del sistema operativo del contenitore, gli utenti GKE possono eseguire l'upgrade ad Advanced Vulnerability Insights per usufruire del rilevamento continuo delle vulnerabilità dei pacchetti di linguaggio. Devi attivare manualmente questa funzionalità sui tuoi cluster, dopodiché riceverai i risultati relativi alle vulnerabilità del sistema operativo e dei pacchetti di linguaggio. Scopri di più sull'analisi delle vulnerabilità nei carichi di lavoro GKE.

Scansione on demand

  • Il servizio non è continuo, devi eseguire un comando per avviare manualmente l'analisi. I risultati della ricerca sono disponibili fino a 48 ore dopo il suo completamento. Le informazioni sulle vulnerabilità non vengono aggiornate dopo l'analisi completato. Puoi eseguire la scansione delle immagini archiviate localmente senza doverle prima eseguire il push in Artifact Registry, Container Registry o negli ambienti di runtime GKE. Per approfondire, consulta la sezione Scansione on demand.

Accedi ai metadati

  • Artifact Analysis è un componente dell'infrastruttura Google Cloud che ti consente di archiviare e recuperare metadati strutturati per le risorse Google Cloud. Nelle varie fasi del processo di rilascio, persone o sistemi automatici possono aggiungere metadati che descrivono il risultato di un'attività. Per Ad esempio, puoi aggiungere all'immagine metadati per indicare che ha passato un suite di test di integrazione o un'analisi delle vulnerabilità.

  • Con l'analisi degli elementi integrata nella pipeline CI/CD, puoi prendere decisioni in base a questi metadati. Ad esempio, puoi utilizzare Autorizzazione binaria per creare criteri di deployment che consentono il deployment solo per immagini conformi provenienti da registri attendibili.

  • Artifact Analysis associa i metadati alle immagini tramite note e occorrenza. Per scoprire di più su questi concetti, consulta la pagina di gestione dei metadati.

Se utilizzi Artifact Analysis con Container Registry, entrambi i prodotti utilizzano le stesse API Artifact Analysis e gli stessi argomenti Pub/Sub. Tuttavia, le funzionalità più recenti di Analisi degli elementi sono disponibili solo per Artifact Registry. Scopri come la transizione da Container Registry per ulteriori informazioni.

Per informazioni sull'utilizzo di Artifact Analysis per la gestione dei metadati e sui costi del servizio facoltativo di analisi delle vulnerabilità, consulta la documentazione di Artifact Analysis.