A análise de artefactos oferece duas funcionalidades para analisar os seus contentores: análise a pedido e análise automática. Este documento apresenta as vantagens de cada uma. A Artifact Analysis também oferece gestão de metadados. Para saber como pode usar a análise e o armazenamento de metadados em conjunto para proteger a sua pipeline de CI/CD de ponta a ponta, consulte a vista geral da análise de artefactos.
A análise a pedido e automática pode identificar vulnerabilidades no seu sistema operativo e pacotes de idiomas (Java e Go). No entanto, a análise automática de pacotes de idiomas só está disponível para o Artifact Registry.
Para ver uma lista dos tipos de análise suportados para cada produto de registo, consulte o gráfico de comparação.
Consulte os preços para saber mais acerca dos custos associados à análise de imagens de contentores.
Análise a pedido
A análise a pedido permite-lhe analisar imagens de contentores localmente no seu computador ou no seu registo, através da CLI gcloud. Isto dá-lhe a flexibilidade de personalizar o seu pipeline de CI/CD, consoante quando precisar de aceder aos resultados das vulnerabilidades.
Análise automática
A Artifact Analysis executa análises de vulnerabilidades nos seus artefactos no Artifact Registry. A análise de artefactos também monitoriza as informações de vulnerabilidade para as manter atualizadas. Este processo compreende duas tarefas principais: a análise no envio e a análise contínua.
Análise por pressão
A análise de artefactos analisa novas imagens quando são carregadas para o Artifact Registry. Esta análise extrai informações sobre os pacotes do sistema no contentor. As imagens são analisadas apenas uma vez, com base no resumo da imagem. Isto significa que a adição ou a modificação de etiquetas não aciona novas análises. Apenas a alteração do conteúdo da imagem o faz.
A análise de artefactos apenas deteta pacotes monitorizados publicamente para vulnerabilidades de segurança.
Quando a análise de uma imagem é concluída, o resultado da vulnerabilidade produzido é a recolha de ocorrências de vulnerabilidades para essa imagem.
Análise contínua
A análise de artefactos cria ocorrências para vulnerabilidades encontradas quando carrega a imagem. Após a análise inicial, monitoriza continuamente os metadados das imagens analisadas no Artifact Registry para novas vulnerabilidades.
A análise de artefactos recebe informações de vulnerabilidade novas e atualizadas de fontes de vulnerabilidade várias vezes por dia. Quando chegam novos dados de vulnerabilidade, a análise de artefactos atualiza os metadados das imagens analisadas para os manter atualizados. A análise de artefactos atualiza as ocorrências de vulnerabilidades existentes, cria novas ocorrências de vulnerabilidades para novas notas e elimina ocorrências de vulnerabilidades que já não são válidas.
A análise de artefactos só atualiza os metadados das imagens que foram enviadas por push ou extraídas nos últimos 30 dias. Após 30 dias, os metadados deixam de ser atualizados e os resultados ficam desatualizados. Além disso, a análise de artefactos arquiva metadados desatualizados há mais de 90 dias, e os metadados não ficam disponíveis na Google Cloud consola, no gcloud nem através da API. Para voltar a analisar uma imagem com metadados desatualizados ou arquivados, transfira essa imagem. A atualização dos metadados pode demorar até 24 horas.
Listas de manifestos
Também pode usar a análise de vulnerabilidades com listas de manifestos. Uma lista de manifestos é uma lista de ponteiros para manifestos para várias plataformas. Permitem que uma única imagem funcione com várias arquiteturas ou variações de um sistema operativo.
A análise de artefactos da análise de vulnerabilidades só suporta imagens Linux amd64. Se a sua lista de manifestos apontar para mais do que uma imagem Linux amd64, apenas a primeira será analisada. Se não existirem ponteiros para imagens Linux amd64, não recebe resultados da análise.