Artifact Analysis は、Artifact Analysis を通じてコンテナの脆弱性スキャンとメタデータ ストレージを提供します。スキャン サービスは、Artifact Registry と Container Registry 内のイメージに対して脆弱性スキャンを実行してから生成されたメタデータを保存し、API を介して利用できるようにします。メタデータ ストレージには、脆弱性スキャン、他のクラウド サービス、サードパーティ プロバイダなど、さまざまなソースからの情報を保存できます。
戦略的情報 API としての Artifact Analysis
CI/CD パイプラインのコンテキストでは、Artifact Analysis を統合して、デプロイ プロセスに関するメタデータを保存し、そのメタデータに基づいて意思決定を行うことができます。
リリース プロセスのさまざまな段階で、アクティビティの結果を記述するメタデータを人の手や自動システムによって追加できます。たとえば、統合テストスイートまたは脆弱性スキャンに合格したことを示すメタデータをイメージに追加できます。
図 1:ソース、ビルド、ストレージ、デプロイの各ステージ間、およびランタイム環境でメタデータを操作する CI/CD パイプライン コンポーネントとしての Container Analysis を示す図
脆弱性スキャンは、自動またはオンデマンドで起動できます。
自動スキャンが有効になっている場合、スキャンは、Artifact Registry や Container Registry に新しいイメージが push されるたびに自動的にトリガーされます。脆弱性情報は、新しい脆弱性が発見されるたびに更新されます。
オンデマンド スキャンが有効になっている場合、ローカル イメージまたは Artifact Registry または Container Registry のイメージをスキャンするコマンドを実行する必要があります。オンデマンド スキャンでは、コンテナのスキャンをより柔軟に行うことができます。たとえば、ローカルにビルドされたイメージをスキャンし、脆弱性を修正してからレジストリに格納できます。
スキャン結果はスキャンが完了してから最大 48 時間利用できます。スキャン後に脆弱性情報は更新されません。
Artifact Analysis を CI / CD パイプラインに統合すると、そのメタデータに基づいて意思決定を行うことができます。たとえば、Binary Authorization を使用して、デプロイ ポリシーを作成できます。デプロイ ポリシーは、信頼できるリポジトリから取得したイメージのデプロイのみを許可します。
Artifact Analysis の使用方法については、Artifact Analysis のドキュメントをご覧ください。