스캔 유형

Artifact Analysis는 컨테이너를 스캔하기 위한 두 가지 기능(주문형 스캔 및 자동 스캔)을 제공합니다. 이 문서에서는 각 기능의 이점을 소개합니다. Artifact Analysis는 메타데이터 관리도 제공합니다. 스캔과 메타데이터 스토리지를 함께 사용하여 CI/CD 파이프라인을 엔드 투 엔드로 보호하는 방법을 자세히 알아보려면 Artifact Analysis 개요를 참고하세요.

주문형 스캔과 자동 스캔을 사용하면 운영체제 및 언어 패키지 (Java, Go)의 취약점을 식별할 수 있습니다. 하지만 자동 언어 패키지 스캔은 Artifact Registry에만 사용할 수 있습니다.

각 레지스트리 제품에 지원되는 검사 유형 목록은 비교 차트를 참고하세요.

컨테이너 이미지 스캔과 관련된 비용에 대해 자세히 알아보려면 가격 책정을 참고하세요.

주문형 스캔

온디맨드 스캔을 사용하면 gcloud CLI를 사용하여 컴퓨터 또는 레지스트리에서 컨테이너 이미지를 로컬로 스캔할 수 있습니다. 이를 통해 취약점 결과에 액세스해야 하는 시점에 따라 CI/CD 파이프라인을 유연하게 맞춤설정할 수 있습니다.

자동 스캔

Artifact Analysis는 Artifact Registry의 아티팩트에 대한 취약점 스캔을 실행합니다. Artifact Analysis는 취약점 정보를 모니터링하여 최신 상태로 유지합니다. 이 프로세스는 푸시 시 스캔과 지속적 분석이라는 두 가지 주요 작업으로 구성됩니다.

푸시 시 스캔

Artifact Analysis는 새로운 이미지가 Artifact Registry에 업로드될 때 이를 스캔합니다. 이 스캔은 컨테이너의 시스템 패키지에 대한 정보를 추출합니다. 이미지는 이미지 다이제스트를 기반으로 한 번만 스캔됩니다. 즉, 태그를 추가하거나 수정하면 새 스캔이 트리거되지 않으며 이미지의 콘텐츠만 변경됩니다.

Artifact Analysis는 보안 취약점에서 공개적으로 모니터링되는 패키지만 감지합니다.

이미지 스캔이 완료된 후 생성된 취약점 결과는 해당 이미지에 대한 취약점 어커런스의 모음입니다.

지속적 분석

Artifact Analysis는 이미지 업로드 시 발견된 취약점에 대한 어커런스를 만듭니다. 초기 스캔 후 Artifact Registry에서 스캔한 이미지의 메타데이터를 지속적으로 모니터링하여 새로운 취약점이 있는지 확인합니다.

Artifact Analysis는 취약점 소스에서 새로운 업데이트된 취약점 정보를 매일 여러 번 수신합니다. 새로운 취약점 데이터가 도착하면 Artifact Analysis는 스캔한 이미지의 메타데이터를 업데이트하여 최신 상태로 유지합니다. Artifact Analysis는 기존 취약점 어커런스를 업데이트하고, 새 메모에 대한 새 취약점 어커런스를 만들고, 더 이상 유효하지 않은 취약점 어커런스를 삭제합니다.

Artifact Analysis는 지난 30일 동안 푸시되거나 가져온 이미지의 메타데이터만 업데이트합니다. 30일이 지나면 메타데이터가 더 이상 업데이트되지 않으며 결과가 오래됩니다. 또한 Artifact Analysis는 90일 넘게 비활성 상태인 메타데이터를 보관처리하며, 이 메타데이터는 Google Cloud 콘솔, gcloud 또는 API를 사용하여 사용할 수 없습니다. 오래되었거나 보관처리된 메타데이터가 있는 이미지를 다시 스캔하려면 해당 이미지를 가져오세요. 메타데이터를 새로고침하는 데 최대 24시간이 걸릴 수 있습니다.

매니페스트 목록

매니페스트 목록으로 취약점 검사를 사용할 수도 있습니다. 매니페스트 목록은 여러 플랫폼의 매니페스트에 대한 포인터 목록입니다. 이를 통해 단일 이미지가 여러 아키텍처 또는 운영체제 변형과 함께 작동할 수 있습니다.

Artifact Analysis 취약점 스캔은 Linux amd64 이미지만 지원합니다. 매니페스트 목록이 두 개 이상의 Linux amd64 이미지를 가리키는 경우 첫 번째 이미지만 검사됩니다. Linux amd64 이미지를 가리키는 포인터가 없으면 검사 결과가 표시되지 않습니다.

다음 단계