Metadatenspeicher

Container Analysis bietet Scans auf Sicherheitslücken und Metadatenspeicherung für Container. Auf dieser Seite werden die Speicherung und das Abrufen von Metadaten beschrieben.

Übergeordnete Metadaten, beispielsweise eine Sicherheitslücke oder Build-Informationen, werden Hinweise genannt. Jede Instanz eines Hinweises wird als Vorkommen identifiziert.

Ein Anbieter ist ein Unternehmen, das die in Hinweisen gespeicherten Metadaten erstellt. Ein Kunde kann dann Container Analysis verwenden, um das Vorkommen von Hinweisen zu identifizieren, z. B. Sicherheitslücken in Containern, die im Projekt gespeichert sind.

Hinweis

Ein Hinweis beschreibt ein übergeordnetes Metadatenelement. Sie können beispielsweise nach der Analyse eines Linux-Pakets einen Hinweis zu einer bestimmten Sicherheitslücke erstellen. Sie können auch einen Hinweis verwenden, um Informationen über den Builder eines Build-Prozesses zu speichern. Hinweise gehören häufig den Anbietern, die die Analyse durchführen. Kunden, die die Metadaten verwenden möchten, können dann das Vorkommen von Hinweisen in ihren Projekten identifizieren.

Wir empfehlen, Hinweise und Vorkommen in separaten Projekten zu speichern, um eine detailliertere Zugriffssteuerung zu ermöglichen.

Hinweise dürfen nur vom Inhaber des Hinweises bearbeitet werden und nur für Kunden lesbar sein, die Zugriff auf Ereignisse haben, auf die sie verweisen.

Vorkommen

Ein Vorkommen stellt dar, wann ein Hinweis in einem Image gefunden wurde. Man kann es sich als Instanziierung eines Hinweises vorstellen. Ein Hinweis auf eine Sicherheitslücke benennt beispielsweise das Paket, in dem diese gefunden wurde, sowie bestimmte Schritte zur Fehlerbehebung usw. Alternativ benennt das Vorkommen eines Hinweises zu Build-Details die Container-Images, die aus einem Build resultieren.

In der Regel werden Vorkommen in anderen Projekten als denen gespeichert, in denen Hinweise erstellt werden. Schreibzugriff auf Vorkommen sollte nur Nutzern gewährt werden, die die nötigen Zugangsrechte haben, um einen Hinweis mit einem Vorkommen verknüpfen zu können. Jeder Nutzer kann Lesezugriff auf Vorkommen haben.

Erkennungsvorkommen enthalten Informationen aus dem ersten Scan von Container-Images. Beim Scannen von Containern werden Erkennungsvorkommen von Container Analysis aktualisiert, um den Scanstatus aufzuzeichnen. Sie werden für alle vorhandenen Images erstellt, wenn die Container Analysis API zum ersten Mal aktiviert wird, und danach für alle neuen Images, die in Container Registry hochgeladen werden.

Unterstützte Metadatentypen

In der folgenden Tabelle sind die Metadatentypen aufgeführt, die von Container Analysis unterstützt werden und die es für Images als Hinweise in der Container Registry bereitstellt. Metadatendrittanbieter können die folgenden Metadatentypen für die Images ihrer Kunden speichern und abrufen.

Metadatentyp Von Container Analysis für Container Registry-Images bereitgestellt
Vulnerability bietet Informationen zu Sicherheitslücken von Container-Images. Ja. Container Analysis bezieht die Informationen zu Sicherheitslücken aus externen Quellen.
Build bietet Informationen zur Build-Herkunft. Ja. Container Analysis stellt diese Informationen nur bereit, wenn Sie das Image mit Cloud Build erstellen.
Deployment liefert Informationen zu Image-Bereitstellungsereignissen. Nein
Image enthält die Metadaten zum Container-Image, beispielsweise Informationen zu den verschiedenen Ebenen eines Images. Nein
Package enthält Informationen zu den in Ihrem Image installierten Paketen. Nein
Attestation ist die logische Rolle, die Images zertifizieren kann. Nein
Discovery enthält Informationen zum ersten Scan von Images. Ja. Container Analysis stellt diese Informationen nur für Sicherheitslücken bereit.

Anbieter und Kunden

Anbieter sind die Unternehmen, die Metadaten für die Images ihrer Kunden zur Verfügung stellen. Container Analysis ermöglicht Anbietern, Metadaten für die Images ihrer Kunden zu speichern und abzurufen. So kann ein Unternehmen, das Sicherheitsmanagement für die Docker-Container seiner Kunden bietet, mit Container Analysis sicherheitsrelevante Metadaten für die Images speichern und abrufen. Weitere Informationen finden Sie unter Bereitstellen von Metadaten für Projekte.

Kunden verwenden Metadaten, die entweder von Google für die Images in Container Registry oder von Drittanbietern bereitgestellt werden.

Weitere Informationen