Artifact Analysis è una famiglia di servizi che fornisce analisi della composizione del software, archiviazione e recupero di metadati. I suoi punti di rilevamento sono integrati in una serie di prodotti Google Cloud come Artifact Registry e Google Kubernetes Engine (GKE) per un'abilitazione rapida. Il servizio funziona con i prodotti proprietari di Google Cloud e ti consente anche di archiviare informazioni da fonti di terze parti. I servizi di analisi sfruttano un archivio di vulnerabilità comune per trovare corrispondenze tra i file e le vulnerabilità note.
Questo servizio era noto in precedenza come Container Analysis. Il nuovo nome non modifica i prodotti o le API esistenti, ma riflette la gamma di funzionalità estesa del prodotto oltre ai container.
Figura 1. Diagramma che mostra Artifact Analysis che crea e interagisce con i metadati negli ambienti di origine, build, archiviazione, deployment e runtime.
Scansione e analisi
Scansione automatica
- Il processo di scansione viene attivato automaticamente ogni volta che esegui il push di una nuova immagine su Artifact Registry o Container Registry (deprecata). Le informazioni sulle vulnerabilità vengono aggiornate continuamente quando vengono rilevate nuove vulnerabilità. Artifact Registry include la scansione dei pacchetti di linguaggio dell'applicazione. Per iniziare, abilita la scansione automatica.
Analisi delle vulnerabilità dei carichi di lavoro GKE - livello Standard
- Nell'ambito della dashboard della strategia di sicurezza di GKE, l'analisi delle vulnerabilità dei carichi di lavoro consente di rilevare le vulnerabilità del sistema operativo delle immagini container. L'analisi è gratuita e può essere abilitata per cluster. I risultati possono essere visualizzati nella dashboard della postura di sicurezza.
Analisi delle vulnerabilità dei carichi di lavoro GKE - Insight avanzati sulle vulnerabilità
- Oltre alla scansione di base del sistema operativo dei container, gli utenti GKE possono eseguire l'upgrade ad insight avanzati sulle vulnerabilità per sfruttare il rilevamento continuo delle vulnerabilità dei pacchetti di linguaggio. Devi abilitare manualmente questa funzionalità sui tuoi cluster, dopodiché riceverai risultati sulle vulnerabilità del sistema operativo e dei pacchetti di linguaggio. Scopri di più sull'analisi delle vulnerabilità nei carichi di lavoro GKE.
Analisi on demand
- Questo servizio non è continuo. Devi eseguire un comando per avviare manualmente la scansione. I risultati della scansione sono disponibili fino a 48 ore dopo il completamento dell'analisi. Le informazioni sulla vulnerabilità non vengono aggiornate al termine dell'analisi. Puoi scansionare le immagini archiviate in locale, senza doverle prima eseguire il push su Artifact Registry, Container Registry o runtime GKE. Per scoprire di più, consulta la pagina relativa all'analisi on demand.
Accedi ai metadati
Artifact Analysis è un componente dell'infrastruttura Google Cloud che consente di archiviare e recuperare i metadati strutturati per le risorse Google Cloud. In varie fasi del processo di rilascio, persone o sistemi automatici possono aggiungere metadati che descrivono il risultato di un'attività. Ad esempio, puoi aggiungere metadati all'immagine per indicare che ha superato una suite di test di integrazione o un'analisi delle vulnerabilità.
Con Artifact Analysis integrato nella pipeline CI/CD, puoi prendere decisioni in base a questi metadati. Ad esempio, puoi utilizzare Autorizzazione binaria per creare criteri di deployment che consentono solo i deployment per le immagini conformi da registri attendibili.
Artifact Analysis associa i metadati alle immagini tramite note e occorrenze. Per ulteriori informazioni su questi concetti, consulta la pagina di gestione dei metadati.
Se utilizzi Artifact Analysis con Container Registry, le stesse API Artifact Analysis e gli stessi argomenti Pub/Sub vengono utilizzati da entrambi i prodotti. Tuttavia, le ultime funzionalità di Artifact Analysis sono disponibili solo per Artifact Registry. Per ulteriori informazioni, scopri come eseguire la transizione da Container Registry.
Per informazioni sull'utilizzo di Artifact Analysis per la gestione dei metadati e sui costi del servizio facoltativo di analisi delle vulnerabilità, consulta la documentazione di Artifact Analysis.