Artifact Analysis 可为 Container Registry 中的容器提供漏洞扫描和元数据存储。扫描服务会对 Artifact Registry 和 Container Registry 中的映像执行漏洞扫描,然后存储生成的元数据并通过 API 使其可供使用。元数据存储允许存储来自不同来源(包括漏洞扫描、其他云服务和第三方提供商)的信息。
作为战略信息 API 的 Artifact Analysis
在 CI/CD 流水线环境中,可以集成 Artifact Analysis,以便存储有关部署过程的元数据并根据该元数据做出决策。
在发布流程的各个阶段,可以由相关人员或自动化系统来添加描述活动结果的元数据。例如,您可以为映像添加元数据,以表明该映像已通过集成测试套件或漏洞扫描的测试。
图 1:将 Container Analysis 显示为 CI/CD 流水线组件的图表,该组件与来源、构建、存储和部署阶段以及运行时环境中的元数据进行交互。
漏洞扫描可自动或按需执行:
启用自动扫描后,您每次将新映像推送到 Artifact Registry 或 Container Registry 时,都会自动触发扫描。发现新漏洞时,漏洞信息会持续更新。
启用按需扫描后,您必须运行一个命令来扫描本地映像或 Artifact Registry 或 Container Registry 中的映像。按需扫描可让您更加灵活地扫描容器。例如,您可以扫描本地构建的映像并修复漏洞,然后再将其存储在注册表中。
扫描结果最长可能需要 48 小时才能完成,而且扫描后漏洞信息不会更新。
将 Artifact Analysis 集成到 CI/CD 流水线中之后,您可以根据该元数据做出决策。例如,您可以使用 Binary Authorization 创建部署政策,以仅允许部署来自受信任注册表的合规映像。
如需了解如何使用 Artifact Analysis,请参阅 Artifact Analysis 文档。