Artifact Registry は、コンテナ イメージを管理するための推奨サービスです。Container Registry のサポートは継続されますが、重要なセキュリティ修正のみが適用されます。Artifact Registry への移行については、こちらをご覧ください

Container Analysis と脆弱性スキャン

Container Analysis は、Container Analysis を通じてコンテナの脆弱性スキャンとメタデータ ストレージを提供します。スキャン サービスは、Artifact Registry と Container Registry 内のイメージに対して脆弱性スキャンを実行してから生成されたメタデータを保存し、API を介して利用できるようにします。メタデータ ストレージには、脆弱性スキャン、他のクラウド サービス、サードパーティ プロバイダなど、さまざまなソースからの情報を保存できます。

戦略的情報 API としての Container Analysis

CI/CD パイプラインのコンテキストでは、Container Analysis を統合して、デプロイ プロセスに関するメタデータを保存し、そのメタデータに基づいて意思決定を行うことができます。

リリース プロセスのさまざまな段階で、アクティビティの結果を記述するメタデータを人の手や自動システムによって追加できます。たとえば、統合テストスイートまたは脆弱性スキャンに合格したことを示すメタデータをイメージに追加できます。

CI / CD での Container Analysis

図 1:ソース、ビルド、ストレージ、デプロイの各ステージ間、およびランタイム環境でメタデータを操作する CI/CD パイプライン コンポーネントとしての Container Analysis を示す図

脆弱性スキャンは、自動またはオンデマンドで起動できます。

  • 自動スキャンが有効になっている場合、スキャンは、Artifact Registry や Container Registry に新しいイメージが push されるたびに自動的にトリガーされます。脆弱性情報は、新しい脆弱性が発見されるたびに更新されます。

  • オンデマンド スキャンが有効になっている場合、ローカル イメージまたは Artifact Registry または Container Registry のイメージをスキャンするコマンドを実行する必要があります。オンデマンド スキャンでは、コンテナのスキャンをより柔軟に行うことができます。たとえば、ローカルにビルドされたイメージをスキャンし、脆弱性を修正してからレジストリに格納できます。

    スキャン結果はスキャンが完了してから最大 48 時間利用できます。スキャン後に脆弱性情報は更新されません。

Container Analysis を CI / CD パイプラインに統合すると、そのメタデータに基づいて意思決定を行うことができます。たとえば、Binary Authorization を使用して、デプロイ ポリシーを作成できます。デプロイ ポリシーは、信頼できるリポジトリから取得したイメージのデプロイのみを許可します。

Container Analysis の使用方法については、Container Analysis のドキュメントをご覧ください。