Armazenamento de metadados

O Container Analysis fornece verificação de vulnerabilidades e armazenamento de metadados para contêineres. Esta página descreve o armazenamento e a recuperação de metadados.

Uma parte de alto nível de metadados, como uma vulnerabilidade ou informações de criação, é chamada de nota. Cada instância de uma nota é identificada como uma ocorrência.

Um provedor é uma empresa que cria os metadados armazenados em notas. Um cliente pode usar o Container Analysis para identificar ocorrências de notas, como vulnerabilidades encontradas em contêineres armazenados no projeto.

Nota

Uma nota descreve uma parte de metadados de alto nível. Por exemplo, você poderia criar uma nota sobre uma vulnerabilidade específica depois de analisar um pacote do Linux. Você também usaria uma nota para armazenar informações sobre o criador de um processo de criação. As notas geralmente são de propriedade e criadas pelos provedores que realizam a análise. Os clientes que quiserem usar os metadados poderão identificar ocorrências de notas nos projetos.

Recomendamos que você armazene notas e ocorrências em projetos separados, permitindo um controle de acesso mais refinado.

As notas só podem ser editáveis pelo proprietário dela e somente leitura para clientes que tenham acesso às ocorrências que as referenciam.

Ocorrência

Uma ocorrência é representada quando uma nota foi encontrada em uma imagem, podendo ser considerada uma instanciação de uma nota. Por exemplo, uma ocorrência de uma nota sobre uma vulnerabilidade descreveria o pacote em que a vulnerabilidade foi encontrada, as etapas de correção específicas e assim por diante. Como alternativa, uma ocorrência de uma nota sobre detalhes de criação descreveria as imagens de contêiner resultantes de uma criação.

Normalmente, as ocorrências são armazenadas em projetos separados daqueles em que as notas são criadas. O acesso de gravação a ocorrências só pode ser concedido a usuários que têm acesso para vincular uma nota à ocorrência. Qualquer usuário pode ter acesso de leitura a ocorrências.

Ocorrências de descoberta incluem informações coletadas durante a varredura inicial de imagens de contêiner. Ao analisar os contêineres, o Container Analysis atualiza as ocorrências de descoberta para registrar o status da varredura. As ocorrências de descoberta são criadas para todas as imagens atuais quando a API Container Analysis é ativada pela primeira vez. Para as novas imagens, elas são criadas no momento do envio para o Container Registry.

Tipos de metadados compatíveis

A tabela a seguir mostra todos os tipos de metadados compatíveis com o Container Analysis e disponíveis para imagens do Container Registry no formato de notas. Provedores de metadados de terceiros podem armazenar e recuperar todos os tipos de metadados a seguir para as imagens dos respectivos clientes.

Tipo de metadados Fornecido pelo Container Analysis para imagens do Container Registry
Vulnerabilidade, que fornece informações sobre vulnerabilidade de imagens do contêiner. Sim O Container Analysis recebe as informações de vulnerabilidade de origens externas.
Criação, que fornece informações sobre a procedência da criação. Sim. O Container Analysis só fornece essas informações quando você usa o Cloud Build para criar a imagem.
Implantação, que traz informações sobre eventos de implantação de imagem. Não
Imagem, que são os metadados sobre a imagem do contêiner, por exemplo, informações sobre as diferentes camadas de uma imagem. Não
Pacote, que contém informações sobre os pacotes instalados na sua imagem. Não
Atestado, que é o papel lógico que pode atestar as imagens. Não
Descoberta, que contém informações sobre a verificação inicial de imagens. Sim. O Container Analysis fornece essas informações apenas para vulnerabilidades.

Provedores e clientes

Provedores são as empresas que fornecem metadados para as imagens dos clientes. Os provedores podem usar o Container Analysis para armazenar e recuperar metadados para as imagens de seus clientes. Por exemplo, uma empresa que gerencia a segurança de contêineres do Docker dos seus clientes pode usar o Container Analysis para armazenar e recuperar metadados relacionados à segurança das imagens. Para mais informações, consulte Como fornecer metadados para projetos.

Os clientes usam os metadados fornecidos pelo Google para as imagens no Container Registry ou por provedores de terceiros.

A seguir