元数据存储

Container Analysis 为容器提供漏洞扫描和元数据存储服务。本页介绍元数据存储和检索。

对元数据的简要说明(例如漏洞或构建信息)称为备注。每个备注实例都被标识为一个发生实例

提供商是创建存储在备注中的元数据的公司。然后,客户可以使用 Container Analysis 识别出现的备注,例如在项目中存储的容器中发现的漏洞。

备注

备注是对元数据的简要说明。例如,您可以在分析 Linux 软件包后创建有关特定漏洞的备注。您还可以使用备注来存储有关构建过程中所用构建工具的信息。备注通常由执行分析的提供商拥有和创建。希望使用元数据的客户可以识别其项目中出现的备注。

我们建议您将备注和发生实例存储在不同的项目中,以便进行更精细的访问权限控制。

备注只能由备注所有者修改,如果客户有权访问引用备注的发生实例,则具有该备注的读取权限。

发生实例

发生实例表示在映像上发现备注,可以认为是一个备注的实例。例如,与漏洞相关的备注发生实例会描述发现漏洞的软件包、特定补救步骤等。另外,与构建详情相关的备注发生实例会描述构建作业所生成的容器映像。

通常,用于存储发生实例的项目与创建备注所在的项目不同。仅应将发生实例的写入权限授予有权将备注关联到该发生实例的用户。任何用户都可拥有发生实例的读取权限。

扫描结果实例包含从容器映像初始扫描中收集到的信息。在扫描容器时,Container Analysis 会更新扫描结果实例以记录扫描状态。Container Analysis API 在首次激活时会为所有现有映像创建扫描结果实例,之后会在所有新映像推送到 Container Registry 时为其创建扫描结果实例。

支持的元数据类型

下表列出了 Container Analysis 针对 Container Registry 中的映像所支持并以备注提供的元数据类型。第三方元数据提供商可以为其客户的映像存储和检索以下所有类型的元数据。

元数据类型 Container Analysis 是否针对 Container Registry 映像提供
漏洞(提供容器映像的漏洞信息)。 是。Container Analysis 会从外部来源获取漏洞信息。
构建(提供构建来源的相关信息)。 是。只有在您使用 Cloud Build 构建映像时,Container Analysis 才会提供此信息。
部署(提供映像部署事件的相关信息)。
映像(即有关容器映像的元数据,例如映像各层的相关信息)。
软件包(包含映像中所安装软件包的相关信息)。
证明(这是可以认证映像的逻辑角色)。
发现(包含映像初始扫描的相关信息)。 是。Container Analysis 只会为漏洞提供此信息。

提供商和客户

提供商是指为其客户的映像提供元数据的公司。提供商可以使用 Container Analysis 来存储和检索客户映像的元数据。例如,为客户的 Docker 容器提供安全管理的公司,可以使用 Container Analysis 来存储和检索映像的安全相关元数据。如需了解详情,请参阅为项目提供元数据

客户可以使用 Google 针对 Container Registry 中的映像提供的元数据,也可以使用第三方提供商提供的元数据。

后续步骤