Artifact Analysis offre due funzionalità per l'analisi dei container: l'analisi on demand e l'analisi automatica. Questo documento illustra i vantaggi di ciascuna. Artifact Analysis fornisce anche la gestione dei metadati. Per scoprire di più su come utilizzare insieme la scansione e l'archiviazione dei metadati per proteggere la pipeline CI/CD end-to-end, consulta la panoramica dell'analisi degli artefatti.
L'analisi on demand e automatica può identificare le vulnerabilità nel sistema operativo e nei pacchetti di linguaggi (Java e Go). Tuttavia, la scansione automatica dei pacchetti di lingua è disponibile solo per Artifact Registry.
Per un elenco dei tipi di scansione supportati per ogni prodotto di registro, consulta la tabella comparativa.
Consulta i prezzi per scoprire di più sui costi associati alla scansione delle immagini container.
Scansione on demand
L'analisi on demand ti consente di analizzare le immagini container localmente sul computer o nel registro, utilizzando gcloud CLI. In questo modo hai la flessibilità di personalizzare la pipeline CI/CD, a seconda di quando devi accedere ai risultati delle vulnerabilità.
Scansione automatica
Artifact Analysis esegue scansioni delle vulnerabilità sugli artefatti in Artifact Registry. Artifact Analysis monitora anche le informazioni sulle vulnerabilità per mantenerle aggiornate. Questo processo comprende due attività principali: la scansione push e l'analisi continua.
Scansione on-push
Artifact Analysis esegue la scansione delle nuove immagini quando vengono caricate in Artifact Registry. Questa scansione estrae informazioni sui pacchetti di sistema nel contenitore. Le immagini vengono scansionate una sola volta, in base al digest dell'immagine. Ciò significa che l'aggiunta o la modifica dei tag non attiverà nuove scansioni, ma solo la modifica dei contenuti dell'immagine.
Artifact Analysis rileva solo i pacchetti monitorati pubblicamente per vulnerabilità di sicurezza.
Al termine della scansione di un'immagine, il risultato della vulnerabilità prodotto è l'insieme delle occorrenze di vulnerabilità per quell'immagine.
Analisi continua
Artifact Analysis crea occorrenze per le vulnerabilità trovate quando carichi l'immagine. Dopo la scansione iniziale, monitora continuamente i metadati delle immagini analizzate in Artifact Registry per rilevare nuove vulnerabilità.
Artifact Analysis riceve informazioni sulle vulnerabilità nuove e aggiornate da fonti di vulnerabilità più volte al giorno. Quando arrivano nuovi dati sulle vulnerabilità, Artifact Analysis aggiorna i metadati delle immagini scansionate per mantenerli aggiornati. Artifact Analysis aggiorna le occorrenze di vulnerabilità esistenti, crea nuove occorrenze di vulnerabilità per le nuove note ed elimina le occorrenze di vulnerabilità non più valide.
Artifact Analysis aggiorna solo i metadati delle immagini di cui è stato eseguito il push o il pull negli ultimi 30 giorni. Dopo 30 giorni, i metadati non verranno più aggiornati e i risultati saranno obsoleti. Inoltre, Artifact Analysis archivia i metadati che sono rimasti inattivi per più di 90 giorni e i metadati non saranno disponibili nella console Google Cloud , in gcloud o utilizzando l'API. Per eseguire di nuovo la scansione di un'immagine con metadati obsoleti o archiviati, esegui il pull dell'immagine. L'aggiornamento dei metadati può richiedere fino a 24 ore.
Elenchi di manifest
Puoi anche utilizzare analisi delle vulnerabilità con gli elenchi manifest. Un elenco di manifest è un elenco di puntatori ai manifest per diverse piattaforme. Consentono a una singola immagine di funzionare con più architetture o varianti di un sistema operativo.
L'analisi delle vulnerabilità di Artifact Analysis supporta solo le immagini Linux amd64. Se l'elenco dei manifest punta a più di un'immagine Linux amd64, verrà analizzata solo la prima; se non sono presenti puntatori a immagini Linux amd64, non otterrai alcun risultato di analisi.