Jenis pemindaian

Artifact Analysis menyediakan dua fitur untuk memindai penampung Anda: pemindaian on-demand dan pemindaian otomatis. Dokumen ini memperkenalkan manfaat dari masing-masing opsi. Artifact Analysis juga menyediakan pengelolaan metadata. Untuk mempelajari lebih lanjut cara memanfaatkan pemindaian dan penyimpanan metadata secara bersamaan untuk mengamankan pipeline CI/CD Anda dari ujung ke ujung, lihat Ringkasan Analisis Artefak.

Pemindaian on demand dan otomatis dapat mengidentifikasi kerentanan di sistem operasi dan paket bahasa Anda (Java, dan Go). Namun, pemindaian paket bahasa otomatis hanya tersedia untuk Artifact Registry.

Untuk mengetahui daftar jenis pemindaian yang didukung untuk setiap produk registry, lihat diagram perbandingan. Jika Anda menggunakan Container Registry, pelajari cara bertransisi ke Artifact Registry.

Lihat harga untuk mempelajari lebih lanjut biaya yang terkait dengan pemindaian image container.

Pemindaian on-demand

Pemindaian on-demand memungkinkan Anda memindai image container secara lokal di komputer atau di registry, menggunakan gcloud CLI. Hal ini memberi Anda fleksibilitas untuk menyesuaikan pipeline CI/CD, bergantung pada waktu Anda perlu mengakses hasil kerentanan.

Pemindaian otomatis

Artifact Analysis melakukan pemindaian kerentanan pada artefak Anda di Artifact Registry atau Container Registry. Artifact Analysis juga memantau informasi kerentanan agar selalu terupdate. Proses ini terdiri dari dua tugas utama: pemindaian on-push dan analisis berkelanjutan.

Pemindaian saat di-push

Artifact Analysis akan memindai image baru saat diupload ke Artifact Registry atau Container Registry. Pemindaian ini mengekstrak informasi tentang paket sistem dalam penampung. Gambar hanya dipindai satu kali, berdasarkan ringkasan gambar. Artinya, menambahkan atau mengubah tag tidak akan memicu pemindaian baru, hanya mengubah konten gambar yang akan melakukannya.

Artifact Analysis hanya mendeteksi paket yang dipantau secara publik untuk kerentanan keamanan.

Saat pemindaian image selesai, hasil kerentanan yang dihasilkan adalah kumpulan kemunculan kerentanan untuk image tersebut.

Analisis berkelanjutan

Artifact Analysis membuat kemunculan untuk kerentanan yang ditemukan saat Anda mengupload image. Setelah pemindaian awal, Artifact Analysis terus memantau metadata untuk image yang dipindai di Artifact Registry dan Container Registry untuk mencari kerentanan baru.

Artifact Analysis menerima informasi kerentanan baru dan yang diperbarui dari sumber kerentanan beberapa kali setiap hari. Saat data kerentanan baru tiba, Artifact Analysis akan memperbarui metadata image yang dipindai agar tetap terbaru. Artifact Analysis memperbarui kemunculan kerentanan yang ada, membuat kemunculan kerentanan baru untuk catatan baru, dan menghapus kemunculan kerentanan yang tidak lagi valid.

Analisis Artefak hanya memperbarui metadata untuk image yang di-push atau di-pull dalam 30 hari terakhir. Setelah 30 hari, metadata tidak akan lagi diperbarui, dan hasilnya akan menjadi usang. Selain itu, Analisis Artefak mengarsipkan metadata yang sudah tidak berlaku selama lebih dari 90 hari, dan metadata tersebut tidak akan tersedia di konsol Google Cloud, gcloud, atau dengan menggunakan API. Untuk memindai ulang gambar dengan metadata yang sudah tidak berlaku atau diarsipkan, tarik gambar tersebut. Memuat ulang metadata dapat memerlukan waktu hingga 24 jam.

Daftar manifes

Anda juga dapat menggunakan pemindaian kerentanan dengan daftar manifes. Daftar manifes adalah daftar pointer ke manifes untuk beberapa platform. Image multi-arch memungkinkan satu image berfungsi dengan beberapa arsitektur atau variasi sistem operasi.

Pemindaian kerentanan Artifact Analysis hanya mendukung image amd64 Linux. Jika daftar manifes Anda mengarah ke lebih dari satu image Linux amd64, hanya image pertama yang akan dipindai; jika tidak ada pointer ke image Linux amd64, Anda tidak akan mendapatkan hasil pemindaian apa pun.

Langkah selanjutnya