Almacenamiento de metadatos

Container Analysis proporciona análisis de vulnerabilidades y almacenamiento de metadatos para contenedores. En esta página, se describe el almacenamiento y la recuperación de metadatos.

Un metadato de alto nivel, como una vulnerabilidad o información de compilación, se denomina nota. Cada instancia de una nota se identifica como un caso.

Un proveedor es una empresa que crea los metadatos almacenados en notas. Un cliente puede usar Container Analysis para identificar casos de notas, como vulnerabilidades encontradas en contenedores almacenados en el proyecto.

Nota

Una nota describe un fragmento de metadatos de alto nivel. Por ejemplo, puedes crear una nota sobre una vulnerabilidad en particular después de analizar un paquete de Linux. También puedes usar una nota para almacenar información sobre el creador de un proceso de compilación. A menudo, los proveedores que realizan el análisis son los propietarios y creadores de las notas. Los clientes que deseen usar los metadatos pueden identificar los casos de las notas dentro de sus proyectos.

Te recomendamos que almacenes notas y casos en proyectos diferentes, lo que permite un control de acceso más detallado.

Solo el propietario de la nota puede editarla. Por su parte, los clientes con acceso a los casos que hacen referencia a ella tienen acceso de solo lectura.

Caso

Un caso se produce cuando se encuentra una nota en una imagen. Se puede considerar una instancia de una nota. Por ejemplo, el caso de una nota sobre una vulnerabilidad describiría el paquete en el que se encontró la vulnerabilidad, los pasos específicos para su solución, etcétera. Como alternativa, un caso de una nota acerca de los detalles de compilación describiría las imágenes de contenedor que surgieron como resultado de una compilación.

Por lo general, los casos se almacenan en proyectos distintos de aquellos en los que se crearon las notas. El acceso de escritura a los casos solo se debe otorgar a los usuarios que tienen acceso para vincular una nota con el caso. Cualquier usuario puede tener acceso de lectura a los casos.

Los casos de descubrimiento incluyen información recopilada a partir del análisis inicial de las imágenes del contenedor. A medida que analiza los contenedores, Container Analysis actualiza los casos de descubrimiento para registrar el estado del análisis. Se crean casos de descubrimiento para todas las imágenes existentes cuando la API de Container Analysis se activa por primera vez y, luego, para todas las imágenes nuevas que se envían a Container Registry.

Tipos de metadatos admitidos

En la siguiente tabla, se enumeran los tipos de metadatos que Container Analysis admite y proporciona para las imágenes de Container Registry como notas. Los proveedores de metadatos externos pueden almacenar y recuperar todos los tipos de metadatos siguientes para las imágenes de sus clientes.

Tipo de metadatos Proporcionado por Container Analysis para imágenes de Container Registry
Vulnerabilidad: proporciona información sobre vulnerabilidades para las imágenes de contenedor. Sí. Container Analysis obtiene la información sobre vulnerabilidades de fuentes externas.
Compilación: proporciona información sobre la fuente de la compilación. Sí. Container Analysis proporciona esta información solo si usas Cloud Build para compilar la imagen.
Implementación: proporciona información sobre los eventos de implementación de las imágenes. No
Imagen: son los metadatos sobre la imagen del contenedor; por ejemplo, la información sobre las diferentes capas de una imagen. No
Paquete: contiene información sobre los paquetes instalados en tu imagen. No
Certificación: es la función lógica que puede certificar las imágenes. No
Descubrimiento: contiene información sobre el análisis inicial de las imágenes. Sí. Container Analysis proporciona esta información solo sobre las vulnerabilidades.

Proveedores y clientes

Los proveedores son las empresas que proporcionan metadatos para las imágenes de sus clientes. Los proveedores pueden usar Container Analysis para almacenar y recuperar metadatos de las imágenes de sus clientes. Por ejemplo, una empresa que proporciona administración de seguridad para los contenedores de Docker de sus clientes puede usar Container Analysis a fin de almacenar y recuperar metadatos relacionados con la seguridad de las imágenes. Para obtener más información, consulta cómo proporcionar metadatos para los proyectos.

Los clientes utilizan los metadatos que proporciona Google para las imágenes en Container Registry o por proveedores externos.

Qué sigue