Artifact Registry is the recommended service for managing container images. Container Registry is still supported but will only receive critical security fixes. Learn about transitioning to Artifact Registry.

Container Analysis と脆弱性スキャン

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

Container Analysis は、Container Analysis を通じてコンテナの脆弱性スキャンとメタデータ ストレージを提供します。スキャン サービスは、Artifact Registry と Container Registry 内のイメージに対して脆弱性スキャンを実行してから生成されたメタデータを保存し、API を介して利用できるようにします。メタデータ ストレージには、脆弱性スキャン、他のクラウド サービス、サードパーティ プロバイダなど、さまざまなソースからの情報を保存できます。

戦略的情報 API としての Container Analysis

CI/CD パイプラインのコンテキストでは、Container Analysis を統合して、デプロイ プロセスに関するメタデータを保存し、そのメタデータに基づいて意思決定を行うことができます。

リリース プロセスのさまざまな段階で、アクティビティの結果を記述するメタデータを人の手や自動システムによって追加できます。たとえば、統合テストスイートまたは脆弱性スキャンに合格したことを示すメタデータをイメージに追加できます。

CI / CD での Container Analysis

図 1:ソース、ビルド、ストレージ、デプロイの各ステージ間、およびランタイム環境でメタデータを操作する CI/CD パイプライン コンポーネントとしての Container Analysis を示す図

脆弱性スキャンは、自動またはオンデマンドで起動できます。

  • 自動スキャンが有効になっている場合、スキャンは、Artifact Registry や Container Registry に新しいイメージが push されるたびに自動的にトリガーされます。脆弱性情報は、新しい脆弱性が発見されるたびに更新されます。

  • オンデマンド スキャンが有効になっている場合、ローカル イメージまたは Artifact Registry または Container Registry のイメージをスキャンするコマンドを実行する必要があります。オンデマンド スキャンでは、コンテナのスキャンをより柔軟に行うことができます。たとえば、ローカルにビルドされたイメージをスキャンし、脆弱性を修正してからレジストリに格納できます。

    スキャン結果はスキャンが完了してから最大 48 時間利用できます。スキャン後に脆弱性情報は更新されません。

Container Analysis を CI / CD パイプラインに統合すると、そのメタデータに基づいて意思決定を行うことができます。たとえば、Binary Authorization を使用して、デプロイ ポリシーを作成できます。デプロイ ポリシーは、信頼できるリポジトリから取得したイメージのデプロイのみを許可します。

Container Analysis の使用方法については、Container Analysis のドキュメントをご覧ください。