Artifact Analysis propose deux fonctionnalités pour analyser vos conteneurs : l'analyse à la demande et l'analyse automatique. Ce document présente les avantages de chacune d'elles. Artifact Analysis permet également de gérer les métadonnées. Pour découvrir comment utiliser l'analyse et le stockage de métadonnées ensemble pour sécuriser votre pipeline CI/CD de bout en bout, consultez la présentation d'Artifact Analysis.
L'analyse à la demande et automatique peut identifier les failles dans votre système d'exploitation et vos packages de langage (Java et Go). Toutefois, l'analyse automatique des packages linguistiques n'est disponible que pour Artifact Registry.
Pour obtenir la liste des types d'analyse compatibles avec chaque produit de registre, consultez le tableau comparatif.
Consultez la page Tarifs pour en savoir plus sur les coûts associés à l'analyse des images de conteneurs.
Analyse à la demande
L'analyse à la demande vous permet d'analyser des images de conteneurs en local sur votre ordinateur ou dans votre registre à l'aide de la gcloud CLI. Vous pouvez ainsi personnaliser votre pipeline CI/CD en fonction du moment où vous devez accéder aux résultats des failles.
Analyse automatique
Artifact Analysis recherche les éventuelles failles de vos artefacts dans Artifact Registry. Artifact Analysis surveille également les informations sur les failles pour les maintenir à jour. Ce processus comprend deux tâches principales : l'analyse sur réception et l'analyse continue.
Analyse push
Artifact Analysis analyse les nouvelles images au fur et à mesure de leur importation dans Artifact Registry. Cette analyse extrait des informations sur les packages système du conteneur. Les images ne sont analysées qu'une seule fois en fonction de leur condensé. Cela signifie que l'ajout ou la modification de tags ne déclenchent pas de nouvelles analyses, mais uniquement la modification du contenu de l'image.
Artifact Analysis ne détecte que les packages surveillés publiquement pour détecter les failles de sécurité.
Lorsque l'analyse d'une image est terminée, le résultat de faille produit est l'ensemble des occurrences de faille pour cette image.
Analyse continue
Artifact Analysis crée des occurrences pour les failles détectées lors de l'importation de l'image. Une fois l'analyse initiale terminée, Artifact Registry surveille en permanence les métadonnées des images analysées afin de détecter de nouvelles failles.
Artifact Analysis reçoit de nouvelles informations ou des informations actualisées sur les failles provenant de sources de failles plusieurs fois par jour. Lorsque de nouvelles données sur les failles sont disponibles, Artifact Analysis met à jour les métadonnées des images analysées pour les actualiser. Artifact Analysis met à jour les occurrences de failles existantes, en crée de nouvelles pour les nouvelles notes et supprime celles qui ne sont plus valides.
Artifact Analysis ne met à jour les métadonnées que pour les images transférées ou extraites au cours des 30 derniers jours. Au bout de 30 jours, les métadonnées ne seront plus mises à jour et les résultats seront obsolètes. De plus, Artifact Analysis archive les métadonnées obsolètes depuis plus de 90 jours. Elles ne sont alors plus disponibles dans la console Google Cloud , dans gcloud ni à l'aide de l'API. Pour lancer une nouvelle analyse d'une image avec des métadonnées obsolètes ou archivées, extrayez cette image. L'actualisation des métadonnées peut prendre jusqu'à 24 heures.
Listes de manifestes
Vous pouvez également utiliser l'analyse des failles avec les listes de manifestes. Une liste de manifestes est une liste de pointeurs vers des manifestes pour plusieurs plates-formes. Elles permettent à une seule image de fonctionner avec plusieurs architectures ou variantes d'un système d'exploitation.
L'analyse des failles Artifact Analysis n'est compatible qu'avec les images Linux amd64. Si votre liste de fichiers manifestes pointe vers plusieurs images Linux amd64, seule la première sera analysée. Si elle ne pointe vers aucune image Linux amd64, vous n'obtiendrez aucun résultat d'analyse.
Étapes suivantes
- Utiliser des packages de systèmes d'exploitation
- Utilisez les packages Go.
- Utiliser des packages Java