建议使用 Artifact Registry 服务来管理容器映像。Container Registry 仍受支持,但只会收到重要的安全补丁。了解如何过渡到 Artifact Registry

Container Analysis 和漏洞扫描

Container Analysis 可为 Container Registry 中的容器提供漏洞扫描和元数据存储。扫描服务会对 Artifact Registry 和 Container Registry 中的映像执行漏洞扫描,然后存储生成的元数据并通过 API 使其可供使用。元数据存储允许存储来自不同来源(包括漏洞扫描、其他云服务和第三方提供商)的信息。

作为战略信息 API 的 Container Analysis

在 CI/CD 流水线环境中,可以集成 Container Analysis,以便存储有关部署过程的元数据并根据该元数据做出决策。

在发布流程的各个阶段,可以由相关人员或自动化系统来添加描述活动结果的元数据。例如,您可以为映像添加元数据,以表明该映像已通过集成测试套件或漏洞扫描的测试。

CI/CD 中的 Container Analysis

图 1:将 Container Analysis 显示为 CI/CD 流水线组件的图表,该组件与来源、构建、存储和部署阶段以及运行时环境中的元数据进行交互。

漏洞扫描可自动或按需执行:

  • 启用自动扫描后,您每次将新映像推送到 Artifact Registry 或 Container Registry 时,都会自动触发扫描。发现新漏洞时,漏洞信息会持续更新。

  • 启用按需扫描后,您必须运行一个命令来扫描本地映像或 Artifact Registry 或 Container Registry 中的映像。按需扫描可让您更加灵活地扫描容器。例如,您可以扫描本地构建的映像并修复漏洞,然后再将其存储在注册表中。

    扫描结果最长可能需要 48 小时才能完成,而且扫描后漏洞信息不会更新。

将 Container Analysis 集成到 CI/CD 流水线中之后,您可以根据该元数据做出决策。例如,您可以使用 Binary Authorization 创建部署政策,以仅允许部署来自受信任注册表的合规映像。

如需了解如何使用 Container Analysis,请参阅 Container Analysis 文档