掃描類型

構件分析提供兩種容器掃描功能：隨選掃描和自動掃描。本文將介紹各項功能的優點，此外，構件分析也提供中繼資料管理功能。如要進一步瞭解如何搭配使用掃描和中繼資料儲存功能，從頭到尾保護 CI/CD 管道，請參閱 Artifact Analysis 總覽。

透過隨選和自動掃描，找出作業系統和語言套件 (Java 和 Go) 的安全漏洞。不過，自動掃描語言套件的功能僅適用於 Artifact Registry。

如要查看各項登記產品支援的掃描類型，請參閱比較圖表。

如要進一步瞭解掃描容器映像檔的相關費用，請參閱定價。

隨選掃描

您可以透過隨選掃描功能，使用 gcloud CLI 在電腦本機或登錄檔中掃描容器映像檔。您可以根據需要存取安全漏洞結果的時間，彈性自訂 CI/CD 管道。

自動掃描

Artifact Analysis 會對 Artifact Registry 中的構件執行安全漏洞掃描。Artifact Analysis 也會監控安全漏洞資訊，確保資訊維持在最新狀態。這個程序包含兩項主要工作：推送時掃描和持續分析。

推送掃描

將新的映像檔上傳至 Artifact Registry 時，Artifact Analysis 會掃描這些映像檔。這項掃描作業會擷取容器中系統套件的相關資訊。系統只會根據圖片摘要掃描圖片一次，也就是說，新增或修改標記不會觸發新的掃描作業，只有變更圖片內容才會。

Artifact Analysis 只會偵測公開監控安全漏洞的套件。

完成映像檔的掃描時，產生的安全漏洞結果是該映像檔的安全漏洞例項集合。

持續分析

上傳映像檔時，Artifact Analysis 會針對發現的安全漏洞建立例項。完成初始掃描後，這項功能會持續監控 Artifact Registry 中已掃描映像檔的中繼資料，找出新的安全漏洞。

Artifact Analysis 每天會多次收到來自安全漏洞來源的全新和更新安全漏洞資訊。當有新的安全漏洞資料時，Artifact Analysis 會更新掃描映像檔的中繼資料，確保資料維持在最新狀態。Artifact Analysis 會更新現有的安全漏洞例項、為新註記建立新的安全漏洞例項，並刪除不再有效的安全漏洞例項。

Artifact Analysis 只會更新過去 30 天內推送或提取的映像檔中繼資料。30 天後，中繼資料將不再更新，結果也會過時。此外，Artifact Analysis 會封存過時逾 90 天的中繼資料，且這些中繼資料不會顯示在 Google Cloud 控制台、gcloud 或 API 中。如要重新掃描中繼資料已過時或已封存的映像檔，請提取該映像檔。 重新整理中繼資料最多可能需要 24 小時才能完成。

資訊清單表

您也可以使用資訊清單清單進行安全漏洞掃描。資訊清單表是指向多個平台資訊清單的指標清單。讓單一映像檔可搭配多種架構或作業系統變體使用。

Artifact Analysis 安全漏洞掃描功能僅支援 Linux amd64 映像檔。如果資訊清單清單指向多個 Linux amd64 映像檔，系統只會掃描第一個映像檔；如果沒有指向 Linux amd64 映像檔的指標，您就不會收到任何掃描結果。

後續步驟

• 搭配使用 OS 套件。
• 使用 Go 套件。
• 使用 Java 套件。