메타데이터 스토리지

컨테이너 분석은 컨테이너의 취약점 스캔 및 메타데이터 스토리지를 제공합니다. 이 페이지에서는 메타데이터 스토리지 및 검색에 대해 설명합니다.

취약점이나 빌드 정보와 같은 상위 수준의 메타데이터를 메모라고 합니다. 메모의 각 인스턴스는 어커런스로 식별됩니다.

provider는 메모에 저장된 메타데이터를 만드는 회사입니다. 그런 다음 고객은 컨테이너 분석을 사용하여 프로젝트에 저장된 컨테이너의 취약점과 같은 메모의 발생을 식별할 수 있습니다.

참고

메모는 상위 수준의 메타데이터를 설명합니다. 예를 들어 Linux 패키지 분석 후 특정 취약점에 대한 메모를 작성할 수 있습니다. 또한 메모를 이용해 빌드 프로세스의 빌더 관련 정보를 저장할 수도 있습니다. 대부분의 경우 메모는 분석을 수행하는 제공업체가 소유하고 생성합니다. 그런 다음 메타데이터를 사용하려는 고객은 프로젝트 내에서 발생하는 메모를 식별할 수 있습니다.

메모와 어커런스를 별도의 프로젝트에 저장하여 보다 세밀한 액세스 제어가 가능합니다.

메모는 메모 소유자만 편집할 수 있고, 메모를 참조하는 어커런스에 액세스할 수 있는 고객은 메모를 읽을 수만 있어야 합니다.

어커런스

어커런스는 이미지에서 메모가 발견된 시점을 나타냅니다. 메모의 인스턴스화라고 생각하면 됩니다. 예를 들어 취약점에 대한 메모의 어커런스는 취약점이 발견된 패키지와 구체적인 해결 조치 단계 등을 설명합니다. 또한 빌드 세부 사항에 대한 메모의 어커런스는 빌드 때문에 생성된 컨테이너 이미지를 설명합니다.

일반적으로 어커런스는 메모가 생성된 프로젝트가 아닌 별도의 프로젝트에 저장됩니다. 어커런스에 대한 쓰기 액세스 권한은 메모를 어커런스에 연결할 수 있는 사용자에게만 부여해야 합니다. 어커런스에 대한 읽기 액세스 권한은 모든 사용자가 가질 수 있습니다.

검색 어커런스는 컨테이너 이미지의 최초 스캔에서 수집된 정보를 포함합니다. 컨테이너 분석은 컨테이너를 스캔할 때 검색 어커런스를 업데이트하여 검사 상태를 기록합니다. 검색 어커런스는 Container Analysis API가 처음으로 활성화될 때 모든 기존 이미지에 대해 생성되며, Container Registry에 모든 새 이미지를 내보낼 때도 생성됩니다.

지원되는 메타데이터 유형

다음 표에는 컨테이너 분석이 지원하고 Container Registry의 이미지에 메모로 제공하는 메타데이터 유형 목록이 나와 있습니다. 타사 메타데이터 제공업체는 고객의 이미지에 대해 다음과 같은 메타데이터 유형 일체를 저장하고 검색할 수 있습니다.

메타데이터 유형 Container Analysis에서 Container Registry 이미지용으로 제공
취약점: 컨테이너 이미지의 취약점 정보를 제공합니다. 예. Container Analysis는 외부 소스에서 취약점 정보를 얻습니다.
빌드: 빌드 출처에 대한 정보를 제공합니다. 예. Container Analysis는 사용자가 Cloud Build를 이용해 이미지를 빌드할 때만 이 정보를 제공합니다.
배포: 이미지 배포 이벤트에 대한 정보를 제공합니다. 아니요
이미지: 컨테이너 이미지에 대한 메타데이터입니다(예: 특정 이미지의 다양한 레이어 관련 정보). 아니요
패키지: 이미지에 설치된 패키지 관련 정보가 들어 있습니다. 아니요
증명: 이미지를 증명할 수 있는 논리적 역할입니다. 아니요
발견: 초기 이미지 스캔 관련 정보가 들어 있습니다. 예. 컨테이너 분석은 취약점에 대해서만 이 정보를 제공합니다.

제공업체 및 고객

제공업체는 고객의 이미지에 메타데이터를 제공하는 회사를 말합니다. 제공업체는 컨테이너 분석을 이용해 고객의 이미지에 대한 메타데이터를 저장하고 검색할 수 있습니다. 예를 들어 고객의 Docker 컨테이너에 보안 관리 기능을 제공하는 회사는 컨테이너 분석을 이용해 이미지에 대한 보안 관련 메타데이터를 저장하고 검색할 수 있습니다. 자세한 내용은 프로젝트에 메타데이터 제공을 참조하세요.

고객은 Google이 Container Registry 내의 이미지에 대해 제공하거나 타사 제공업체가 제공한 메타데이터를 사용합니다.

다음 단계