O Artifact Analysis é um conjunto de serviços que oferece análise de composição de software, armazenamento de metadados e recuperação. Os pontos de detecção são integrados a vários produtos do Google Cloud , como o Artifact Registry e o Google Kubernetes Engine (GKE), para uma ativação rápida. O serviço funciona com os produtos próprios do Google Cloude também permite armazenar informações de fontes externas. Os serviços de verificação usam um repositório de vulnerabilidades comum para fazer a correspondência entre arquivos de vulnerabilidades conhecidas.
Esse serviço era conhecido como Container Analysis. O novo nome não muda os produtos ou APIs existentes, mas reflete a gama de recursos em expansão do produto além dos contêineres.
Figura 1. Diagrama que mostra a Análise de artefato criando e interagindo com metadados em ambientes de origem, build, armazenamento, implantação e de execução.
Verificação do registro
Esta seção descreve os recursos de verificação de vulnerabilidades do Artifact Analysis com base no Artifact Registry e lista produtos Google Cloud relacionados em que você pode ativar recursos complementares para apoiar sua postura de segurança.
Verificação automática no Artifact Registry
- O processo de verificação é acionado automaticamente sempre que você envia uma nova imagem para o Artifact Registry ou o Container Registry (descontinuado). As informações de vulnerabilidade são atualizadas continuamente quando novas vulnerabilidades são descobertas. O Artifact Registry inclui a verificação de pacotes de linguagem de aplicativos. Para começar, ative a verificação automática.
Gerenciamento de riscos centralizado com o Security Command Center
- O Security Command Center centraliza a segurança da nuvem, oferecendo verificação de vulnerabilidade, detecção de ameaças, monitoramento de postura e gerenciamento de dados. Ao integrar o Artifact Analysis, você pode conferir as vulnerabilidades da imagem do contêiner nas cargas de trabalho em execução em todos os projetos, além dos outros riscos de segurança no Security Command Center. Também é possível exportar essas descobertas para o BigQuery para análise detalhada e armazenamento de longo prazo. Para mais informações, consulte Avaliação de vulnerabilidade do Artifact Registry.
Verificação de vulnerabilidades da carga de trabalho do GKE: nível padrão
- Como parte do painel de postura de segurança do GKE, a verificação de vulnerabilidades da carga de trabalho oferece a detecção de vulnerabilidades do SO da imagem do contêiner. A verificação é gratuita e pode ser ativada por cluster. Os resultados estão disponíveis no painel de postura de segurança.
Verificação de vulnerabilidades da carga de trabalho do GKE: insights avançados sobre vulnerabilidades
- Além da verificação básica do SO do contêiner, os usuários do GKE podem fazer upgrade para insights avançados sobre vulnerabilidades e aproveitar a detecção contínua de vulnerabilidades de pacotes de linguagem. É necessário ativar manualmente esse recurso nos clusters. Depois disso, você vai receber resultados de vulnerabilidades do SO e do pacote de idioma. Saiba mais sobre a verificação de vulnerabilidades em cargas de trabalho do GKE.
Verificação sob demanda
- Esse serviço não é contínuo. É necessário executar um comando para iniciar manualmente a verificação. Os resultados da verificação ficam disponíveis até 48 horas após a conclusão da verificação. As informações de vulnerabilidade não são atualizadas após a conclusão da verificação. É possível verificar imagens armazenadas localmente sem precisar enviá-las primeiro para o Artifact Registry, o Container Registry ou o ambiente de execução do GKE. Para saber mais, consulte Verificação sob demanda.
Acessar metadados
O Artifact Analysis é um Google Cloud componente de infraestrutura que permite armazenar e recuperar metadados estruturados para Google Cloud recursos. Em várias fases do processo de lançamento, pessoas ou sistemas automatizados podem adicionar metadados que descrevem o resultado de uma atividade. Por exemplo, você pode adicionar metadados à sua imagem indicando que ela passou por um pacote de teste de integração ou por uma verificação de vulnerabilidade.
Com o Artifact Analysis integrado ao pipeline de CI/CD, é possível tomar decisões com base nesses metadados. Por exemplo, é possível usar a autorização binária para criar políticas de implantação que permitam apenas implantações de imagens compatíveis de registros confiáveis.
O Artifact Analysis associa metadados a imagens por meio de notas e ocorrências. Para saber mais sobre esses conceitos, consulte a página de gerenciamento de metadados.
Se você estiver usando o Artifact Analysis com o Container Registry, as mesmas APIs do Artifact Analysis e os tópicos do Pub/Sub serão usados por ambos os produtos. No entanto, os recursos mais recentes da Análise de artefatos só estão disponíveis para o Artifact Registry. Saiba como fazer a transição do Container Registry para mais informações.
Para saber mais sobre os custos dos recursos do Artifact Analysis, consulte Preços do Artifact Analysis.
A seguir
- Começar a usar a verificação automática.
- Comece a usar a verificação sob demanda.
- Saiba mais sobre os conceitos de verificação.
- Saiba mais sobre os tipos de metadados aceitos.