Artifact Analysis è una famiglia di servizi che fornisce analisi della composizione del software, archiviazione e recupero dei metadati. I suoi punti di rilevamento sono integrati in una serie di prodotti Google Cloud come Artifact Registry e Google Kubernetes Engine (GKE) per un'attivazione rapida. Google Cloud Il servizio funziona con entrambi i prodotti proprietari di Google Cloude consente anche di archiviare informazioni da origini di terze parti. I servizi di scansione utilizzano un archivio di vulnerabilità comune per confrontare i file con le vulnerabilità note.
Questo servizio era precedentemente noto come Container Analysis. Il nuovo nome non modifica i prodotti o le API esistenti, ma riflette la gamma in espansione di funzionalità del prodotto oltre i container.
Figura 1. Diagramma che mostra l'Artifact Analysis che crea e interagisce con i metadati negli ambienti di origine, compilazione, archiviazione, deployment e runtime.
Scansione del registro
Questa sezione descrive le funzionalità di analisi delle vulnerabilità di Artifact Analysis basate su Artifact Registry ed elenca i prodotti Google Cloud correlati in cui puoi attivare funzionalità complementari per supportare la tua postura di sicurezza.
Scansione automatica in Artifact Registry
- Il processo di analisi viene attivato automaticamente ogni volta che esegui il push di una nuova immagine in Artifact Registry o Container Registry (deprecato). Le informazioni sulle vulnerabilità vengono aggiornate continuamente quando vengono scoperte nuove vulnerabilità. Artifact Registry include l'analisi dei pacchetti linguistici delle applicazioni. Per iniziare, attiva la scansione automatica.
Gestione centralizzata dei rischi con Security Command Center
- Security Command Center centralizza la sicurezza cloud, offrendo scansione delle vulnerabilità, rilevamento delle minacce, monitoraggio della postura e gestione dei dati. Security Command Center aggrega i risultati delle vulnerabilità dalle scansioni di Artifact Registry, consentendoti di visualizzare le vulnerabilità delle immagini container all'interno dei tuoi workload in esecuzione, in tutti i progetti insieme agli altri rischi per la sicurezza in Security Command Center. Puoi anche esportare questi risultati in BigQuery per un'analisi approfondita e l'archiviazione a lungo termine. Per ulteriori informazioni, consulta Valutazione delle vulnerabilità di Artifact Registry.
Analisi delle vulnerabilità dei workload GKE - livello standard
- Nell'ambito della dashboard sulla postura di sicurezza di GKE, l'analisi delle vulnerabilità dei workload fornisce il rilevamento delle vulnerabilità del sistema operativo delle immagini container. La scansione è gratuita e può essere abilitata per cluster. I risultati sono disponibili per la visualizzazione nella dashboard della postura di sicurezza.
Analisi delle vulnerabilità dei workload di GKE - approfondimenti avanzati sulle vulnerabilità
- Oltre alla scansione di base del sistema operativo del container, gli utenti GKE possono eseguire l'upgrade ad Advanced Vulnerability Insights per usufruire del rilevamento continuo delle vulnerabilità dei pacchetti di linguaggio. Devi abilitare manualmente questa funzionalità sui tuoi cluster, dopodiché riceverai i risultati dell'analisi delle vulnerabilità del sistema operativo e dei pacchetti di linguaggio. Scopri di più sull'analisi delle vulnerabilità nei workload GKE.
Scansione on demand
- Questo servizio non è continuo; devi eseguire un comando per avviare manualmente la scansione. I risultati della scansione sono disponibili fino a 48 ore dopo il completamento della scansione. Le informazioni sulle vulnerabilità non vengono aggiornate al termine della scansione. Puoi analizzare le immagini archiviate localmente, senza doverle eseguire il push in Artifact Registry, Container Registry o nei runtime GKE. Per scoprire di più, consulta la sezione Scansione on demand.
Accedere ai metadati
Artifact Analysis è un componente dell'infrastruttura Google Cloud che ti consente di memorizzare e recuperare metadati strutturati per le risorse di Google Cloud. Nelle varie fasi del processo di rilascio, persone o sistemi automatici possono aggiungere metadati che descrivono il risultato di un'attività. Ad esempio, puoi aggiungere metadati all'immagine per indicare che ha superato un set di test di integrazione o una scansione delle vulnerabilità.
Con l'analisi degli artefatti integrata nella pipeline CI/CD, puoi prendere decisioni in base ai metadati. Ad esempio, puoi utilizzare Autorizzazione binaria per creare criteri di deployment che consentano solo i deployment per le immagini conformi provenienti da registri attendibili.
Artifact Analysis associa i metadati alle immagini tramite note e occorrenze. Per scoprire di più su questi concetti, consulta la pagina di gestione dei metadati.
Se utilizzi Artifact Analysis con Container Registry, entrambi i prodotti utilizzano le stesse API Artifact Analysis e gli stessi argomenti Pub/Sub. Tuttavia, le funzionalità di Artifact Analysis più recenti sono disponibili solo per Artifact Registry. Scopri come eseguire la transizione da Container Registry per ulteriori informazioni.
Per informazioni sui costi delle funzionalità di Artifact Analysis, consulta Prezzi di Artifact Analysis.
Passaggi successivi
- Inizia a utilizzare la scansione automatica.
- Inizia a utilizzare la scansione on demand.
- Scopri di più sui concetti di scansione.
- Scopri di più sui tipi di metadati supportati.