Esta página foi traduzida pela API Cloud Translation.
Switch to English

Container Analysis e verificação de vulnerabilidade

O Container Analysis oferece verificação de vulnerabilidades e armazenamento de metadados para contêineres. O serviço de verificação realiza verificações de vulnerabilidade em imagens no Artifact Registry e no Container Registry. Em seguida, armazena os metadados resultantes e os disponibiliza para consumo por meio de uma API. O armazenamento de metadados permite armazenar informações de diferentes fontes, incluindo verificação de vulnerabilidades, outros serviços do Cloud e fornecedores terceirizados.

Container Analysis como uma API de informações estratégicas

No contexto do pipeline de CI/CD, o Container Analysis pode ser integrado para armazenar metadados sobre o processo de implantação e tomar decisões com base neles.

Em várias fases do processo de lançamento, pessoas ou sistemas automatizados podem adicionar metadados que descrevem o resultado de uma atividade. Por exemplo, você pode adicionar metadados à sua imagem indicando que ela passou por um conjunto de testes de integração ou por uma verificação de vulnerabilidades.

Análise de contêiner em CI/CD

Figura 1. Diagrama que mostra o Container Analysis como um componente de pipeline de CI/CD que interage com metadados nos estágios de origem, compilação, armazenamento e implantação, bem como ambientes de execução.

A verificação de vulnerabilidades pode ocorrer automaticamente ou sob demanda:

  • Quando a verificação automática está ativada, a verificação é acionada automaticamente sempre que você envia uma nova imagem ao Artifact Registry ou ao Container Registry. As informações de vulnerabilidade são atualizadas continuamente quando novas vulnerabilidades são descobertas.

  • Quando a verificação sob demanda está ativada, execute um comando para verificar uma imagem local ou uma imagem no Artifact Registry ou no Container Registry. A verificação sob demanda oferece mais flexibilidade para a verificação de contêineres. Por exemplo, é possível verificar uma imagem criada localmente e corrigir vulnerabilidades antes de armazená-la em um registro.

    Os resultados da verificação ficam disponíveis por até 48 horas após a conclusão dela e as informações de vulnerabilidade não são atualizadas após a verificação.

Com o Container Analysis integrado ao pipeline de CI/CD, é possível tomar decisões com base nesses metadados. Por exemplo, você pode usar a autorização binária para criar políticas de implantação, permitindo apenas implantações de imagens compatíveis de registros confiáveis.

Se você estiver usando o Container Analysis com o Container Registry, as mesmas APIs do Container Analysis e tópicos do Pub/Sub serão usados por ambos os produtos. Consulte a documentação de transição do Container Registry para mais informações.

Para saber mais sobre o uso do Container Analysis e custos do serviço de verificação de vulnerabilidade opcional, consulte a documentação do Container Analysis.