컨테이너 분석 및 취약점 스캔

Artifact Analysis는 Artifact Analysis를 통해 컨테이너에 대한 취약점 스캔 및 메타데이터 스토리지를 제공합니다. 스캔 서비스는 Artifact Registry 및 Container Registry의 이미지에 대한 취약점 스캔을 수행한 후 결과 메타데이터를 저장하고 API를 통해 사용할 수 있도록 합니다. 메타데이터 스토리지를 사용하면 취약점 스캔, 기타 클라우드 서비스, 타사 제공업체 등 다양한 소스로부터 정보를 저장할 수 있습니다.

전략적 정보 API로서의 Artifact Analysis

CI/CD 파이프라인의 컨텍스트에서 Artifact Analysis를 통합하여 배포 프로세스에 대한 메타데이터를 저장하고 메타데이터를 기반으로 결정을 내릴 수 있습니다.

출시 프로세스의 다양한 단계에서 사람이나 자동화된 시스템이 활동 결과를 설명하는 메타데이터를 추가할 수 있습니다. 예를 들어 통합 테스트 모음 또는 취약점 스캔을 통과했음을 나타내는 메타데이터를 이미지에 추가할 수 있습니다.

CI/CD의 컨테이너 분석

그림 1. 컨테이너 분석을 소스, 빌드, 저장소, 배포 단계, 런타임 환경 전반에서 상호작용하는 CI/CD 파이프 라인 구성 요소로 보여주는 다이어그램

취약점 스캔은 자동으로 발생하거나 요청 시 발생할 수 있습니다.

  • 자동 스캔을 사용 설정하면 Artifact Registry 또는 Container Registry에 새 이미지를 푸시할 때마다 자동으로 스캔이 트리거됩니다. 취약점 정보는 새로운 취약점이 발견될 때 지속적으로 업데이트됩니다.

  • 요청 시 스캔을 사용 설정한 경우 명령어를 실행하여 로컬 이미지나 Artifact Registry 또는 Container Registry의 이미지를 스캔해야 합니다. 요청 시 스캔은 컨테이너를 스캔하는 시점에 대해 더 많은 유연성을 제공합니다. 예를 들어 로컬에서 빌드한 이미지를 레지스트리에 저장하기 전에 이미지를 스캔하여 취약점을 해결할 수 있습니다.

    스캔이 완료된 후 최대 48시간 동안 스캔 결과를 확인할 수 있으며 스캔 후 취약점 정보는 업데이트되지 않습니다.

CI/CD 파이프라인에 통합된 Artifact Analysis를 사용하면 그 메타데이터를 기반으로 결정을 내릴 수 있습니다. 예를 들어 Binary Authorization을 사용하여 배포 정책을 만들면 신뢰할 수 있는 저장소의 호환 이미지에 대한 배포만 허용할 수 있습니다.

Artifact Analysis 사용에 대한 자세한 내용은 Artifact Analysis 문서를 참조하세요.