Stockage de métadonnées

Container Analysis permet d'analyser les failles et de stocker des métadonnées pour les conteneurs. Cette page décrit le stockage et la récupération des métadonnées.

Un élément de métadonnée de haut niveau, tel qu'une faille ou des informations sur la compilation, est appelé une note. Chaque instance d'une note est identifiée comme une occurrence.

Un fournisseur est une entreprise qui crée les métadonnées stockées dans les notes. Un client peut ensuite utiliser Container Analysis pour identifier les occurrences des notes, telles que les failles trouvées dans les conteneurs stockés dans le projet.

Note

Une note décrit une métadonnée de haut niveau. Par exemple, vous pouvez créer une note sur une faille particulière après avoir analysé un package Linux. Vous pouvez également utiliser une note pour stocker des informations sur le compilateur d'un processus de compilation. Les notes sont souvent détenues et créées par les fournisseurs effectuant l'analyse. Les clients qui souhaitent utiliser les métadonnées peuvent ensuite identifier les occurrences des notes dans leurs projets.

Nous vous recommandons de stocker les notes et les occurrences dans des projets distincts, ce qui permet un contrôle d'accès plus précis.

Les notes doivent être disponibles en écriture uniquement pour le propriétaire, et en lecture seule pour les clients ayant accès aux occurrences qui y font référence.

Occurrence

Une occurrence représente le moment où une note a été trouvée sur une image, et peut être considérée comme une instanciation d'une note. Par exemple, une occurrence d'une note sur une faille décrit le package dans lequel la faille a été trouvée, les mesures correctives spécifiques, etc. Une occurrence d'une note sur les détails de la compilation, quant à elle, décrit les images de conteneurs résultant d'une compilation.

En règle générale, les occurrences sont stockées dans des projets distincts de ceux où les notes sont créées. L'accès en écriture aux occurrences ne doit être accordé qu'aux utilisateurs autorisés à lier des notes aux occurrences. Tout utilisateur peut disposer d'un accès en lecture aux occurrences.

Les occurrences de découverte incluent les informations collectées lors de l'analyse initiale des images de conteneur. Lors de l'analyse des conteneurs, Container Analysis met à jour les occurrences de découverte pour enregistrer l'état de l'analyse. Des occurrences de découverte sont créées pour toutes les images existantes lors de la première activation de l'API Container Analysis, puis pour toutes les nouvelles images transférées dans Container Registry.

Types de métadonnées acceptés

Le tableau suivant répertorie les types de métadonnées compatibles avec Container Analysis ainsi que les types de métadonnées qu'il fournit, en tant que notes, pour les images dans Container Registry. Les fournisseurs tiers de métadonnées peuvent stocker et récupérer tous les types de métadonnées suivants pour les images de leurs clients.

Type de métadonnées Fourni par Container Analysis pour Container Registry
Failles : fournit des informations sur les failles des images de conteneurs. Oui. Container Analysis obtient les informations sur les failles à partir de sources externes.
Compilation : fournit des informations sur la provenance de la compilation. Oui. Container Analysis fournit ces informations uniquement si vous utilisez Cloud Build pour compiler l'image.
Déploiement : fournit des informations sur les événements de déploiement d'images. No
Image : correspond aux métadonnées sur l'image de conteneur (par exemple, les informations sur les différentes couches d'une image). Non
Package : contient des informations sur les packages installés dans votre image. Non
Attestation : correspond au rôle logique pouvant attester des images. Non
Découverte : contient des informations sur l'analyse initiale des images. Oui. Container Analysis fournit ces informations uniquement pour les failles.

Fournisseurs et clients

Les fournisseurs sont les entreprises qui fournissent des métadonnées pour les images de leurs clients. Ils peuvent utiliser Container Analysis pour stocker et récupérer des métadonnées pour les images de leurs clients. Par exemple, une entreprise qui assure la gestion de la sécurité des conteneurs Docker de ses clients peut utiliser Container Analysis pour stocker et récupérer des métadonnées liées à la sécurité pour les images. Pour en savoir plus, consultez la page relative à la fourniture de métadonnées pour les images.

Les clients peuvent utiliser les métadonnées fournies par Google pour les images de Container Registry ou par des fournisseurs tiers.

Étape suivante