Artifact Analysis menyediakan dua fitur untuk memindai penampung Anda: pemindaian on-demand dan pemindaian otomatis. Dokumen ini memperkenalkan manfaat dari masing-masing opsi. Artifact Analysis juga menyediakan pengelolaan metadata. Untuk mempelajari lebih lanjut cara memanfaatkan pemindaian dan penyimpanan metadata secara bersamaan untuk mengamankan pipeline CI/CD Anda dari ujung ke ujung, lihat Ringkasan Analisis Artefak.
Pemindaian on demand dan otomatis dapat mengidentifikasi kerentanan di sistem operasi dan paket bahasa Anda (Java, dan Go). Namun, pemindaian paket bahasa otomatis hanya tersedia untuk Artifact Registry.
Untuk mengetahui daftar jenis pemindaian yang didukung untuk setiap produk registry, lihat diagram perbandingan. Jika Anda menggunakan Container Registry, pelajari cara bertransisi ke Artifact Registry.
Lihat harga untuk mempelajari lebih lanjut biaya yang terkait dengan pemindaian image container.
Pemindaian on-demand
Pemindaian on-demand memungkinkan Anda memindai image container secara lokal di komputer atau di registry, menggunakan gcloud CLI. Hal ini memberi Anda fleksibilitas untuk menyesuaikan pipeline CI/CD, bergantung pada waktu Anda perlu mengakses hasil kerentanan.
Pemindaian otomatis
Artifact Analysis melakukan pemindaian kerentanan pada artefak Anda di Artifact Registry atau Container Registry. Artifact Analysis juga memantau informasi kerentanan agar selalu terupdate. Proses ini terdiri dari dua tugas utama: pemindaian on-push dan analisis berkelanjutan.
Pemindaian saat di-push
Artifact Analysis akan memindai image baru saat diupload ke Artifact Registry atau Container Registry. Pemindaian ini mengekstrak informasi tentang paket sistem dalam penampung. Gambar hanya dipindai satu kali, berdasarkan ringkasan gambar. Artinya, menambahkan atau mengubah tag tidak akan memicu pemindaian baru, hanya mengubah konten gambar yang akan melakukannya.
Artifact Analysis hanya mendeteksi paket yang dipantau secara publik untuk kerentanan keamanan.
Saat pemindaian image selesai, hasil kerentanan yang dihasilkan adalah kumpulan kemunculan kerentanan untuk image tersebut.
Artifact Analysis tidak otomatis memindai gambar yang ada. Untuk memindai image yang ada, Anda harus mengirimnya lagi.
Analisis berkelanjutan
Artifact Analysis membuat kemunculan untuk kerentanan yang ditemukan saat Anda mengupload image. Setelah pemindaian awal, Artifact Analysis terus memantau metadata untuk image yang dipindai di Artifact Registry dan Container Registry untuk mencari kerentanan baru.
Artifact Analysis menerima informasi kerentanan baru dan yang diperbarui dari sumber kerentanan beberapa kali setiap hari. Saat data kerentanan baru tiba, Artifact Analysis akan memperbarui metadata image yang dipindai agar tetap terbaru. Artifact Analysis memperbarui kemunculan kerentanan yang ada, membuat kemunculan kerentanan baru untuk catatan baru, dan menghapus kemunculan kerentanan yang tidak lagi valid.
Analisis Artefak hanya memperbarui metadata untuk image yang di-push atau di-pull dalam 30 hari terakhir. Artifact Analysis mengarsipkan metadata yang sudah lebih dari 30 hari.Untuk memindai ulang gambar dengan metadata yang diarsipkan, ambil gambar tersebut. Memuat ulang metadata dapat memerlukan waktu hingga 24 jam.
Daftar manifes
Anda juga dapat menggunakan pemindaian kerentanan dengan daftar manifes. Daftar manifes adalah daftar pointer ke manifes untuk beberapa platform. Image multi-arch memungkinkan satu image berfungsi dengan beberapa arsitektur atau variasi sistem operasi.
Pemindaian kerentanan Artifact Analysis hanya mendukung image amd64 Linux. Jika daftar manifes Anda mengarah ke lebih dari satu image Linux amd64, hanya image pertama yang akan dipindai; jika tidak ada pointer ke image Linux amd64, Anda tidak akan mendapatkan hasil pemindaian apa pun.