O Artifact Analysis oferece dois recursos para verificar seus contêineres: verificação sob demanda e automática. Este documento apresenta os benefícios de cada um. Artifact Analysis também oferece gerenciamento de metadados. Para saber mais sobre como aproveitar a verificação e o armazenamento de metadados para proteger seu pipeline de CI/CD de ponta a ponta, consulte a Visão geral da análise de artefatos.
A verificação automática e sob demanda pode identificar vulnerabilidades no sistema operacional e nos pacotes de idiomas (Java e Go). No entanto, a verificação automática de pacotes de linguagem está disponível apenas para o Artifact Registry.
Para conferir uma lista de tipos de verificação compatíveis com cada produto de registro, consulte a tabela de comparação. Se você usa o Container Registry, saiba como fazer a transição para o Artifact Registry.
Consulte Preços para saber mais sobre os custos associados à verificação de imagens de contêineres.
Verificação sob demanda
A verificação sob demanda permite verificar imagens de contêiner localmente no computador ou no registro usando a CLI gcloud. Isso oferece a flexibilidade de personalizar seu pipeline de CI/CD, dependendo de quando você precisa acessar os resultados de vulnerabilidade.
Verificação automática
O Artifact Analysis realiza verificações de vulnerabilidades nos seus artefatos no Artifact Registry ou no Container Registry. O Artifact Analysis também monitora as informações de vulnerabilidade para mantê-las atualizadas. Esse processo inclui duas tarefas principais: verificação em push e análise contínua.
Verificação por push
O Artifact Analysis verifica novas imagens quando elas são enviadas para o Artifact Registry ou o Container Registry. Essa verificação extrai informações sobre os pacotes do sistema no contêiner. As imagens são verificadas apenas uma vez, com base no resumo da imagem. Isso significa que a adição ou modificação de tags não acionará novas verificações, apenas a mudança do conteúdo da imagem.
O Artifact Analysis só detecta pacotes monitorados publicamente quanto a vulnerabilidades de segurança.
Quando a varredura de uma imagem é concluída, o resultado de vulnerabilidade é uma coleção das ocorrências de vulnerabilidade de uma imagem.
Análise contínua
O Artifact Analysis cria ocorrências de vulnerabilidades encontradas quando você faz upload da imagem. Após a verificação inicial, ele monitora continuamente os metadados de imagens digitalizadas no Artifact Registry e no Container Registry em busca de novas vulnerabilidades.
O Artifact Analysis recebe informações de vulnerabilidade novas e atualizadas de origens de vulnerabilidade várias vezes por dia. Quando novos dados de vulnerabilidade chegam, o Artifact Analysis atualiza os metadados das imagens digitalizadas para mantê-los atualizados. O Artifact Analysis atualiza as ocorrências de vulnerabilidade existentes, cria novas ocorrências de vulnerabilidade para novas notas e exclui ocorrências que não são mais válidas.
O Artifact Analysis só atualiza os metadados de imagens enviadas ou extraídas nos últimos 30 dias. Após 30 dias, os metadados não serão mais atualizados, e os resultados ficarão desatualizados. Além disso, o Artifact Analysis arquiva metadados que estão desatualizados há mais de 90 dias, e eles não estarão disponíveis no console do Google Cloud, no gcloud ou usando a API. Para verificar novamente uma imagem com metadados desatualizados ou arquivados, extraia essa imagem. A atualização de metadados pode levar até 24 horas.
Listas de manifestos
Também é possível usar verificação de vulnerabilidades com listas de manifesto. Uma lista de manifestos é uma lista de ponteiros para manifestos de várias plataformas. Elas permitem que uma única imagem funcione com várias arquiteturas ou variações de um sistema operacional.
A verificação de vulnerabilidades do Artifact Analysis só tem suporte para imagens amd64 do Linux. Se a lista de manifestos apontar para mais de uma imagem Linux amd64, somente a primeira será verificada. Se não houver ponteiros para imagens Linux amd64, você não vai receber resultados de verificação.