Artifact Analysis proporciona dos formas de analizar imágenes: análisis automático y análisis a pedido. En este documento, se describen los detalles de las funciones para ambos tipos de análisis.
Artifact Analysis también proporciona administración de metadatos. Para obtener más información sobre cómo puedes usar el análisis y el almacenamiento de metadatos juntos para proteger tu canalización de CI/CD de extremo a extremo, consulta la descripción general de Artifact Analysis.
Consulta los precios para obtener más información sobre los costos asociados con el análisis de imágenes de contenedores.
En esta descripción general, se supone que ya sabes cómo usar repositorios de Docker en Artifact Registry o Container Registry (obsoleto).
Búsqueda automática
Artifact Analysis realiza análisis de vulnerabilidades en tus artefactos en Artifact Registry o Container Registry (obsoleto). Artifact Analysis también identifica las dependencias y licencias para ayudarte a comprender la composición de tu software.
El análisis automático comprende dos tareas principales: el análisis on-push y el análisis continuo.
Análisis durante la transferencia
Artifact Analysis analiza las imágenes nuevas cuando se suben a Artifact Registry o Container Registry. Este análisis extrae información sobre los paquetes en el contenedor. Las imágenes se escanean solo una vez, según su resumen. Esto significa que agregar o modificar etiquetas no activará nuevos análisis.
Artifact Analysis solo detecta vulnerabilidades en paquetes que se supervisan públicamente para detectar vulnerabilidades de seguridad.
Cuando se completa el análisis de una imagen, el resultado de vulnerabilidad producido es el conjunto de casos de vulnerabilidades para esa imagen.
Análisis continuo
Artifact Analysis crea casos para las vulnerabilidades que se encuentran cuando subes la imagen. Después del análisis inicial, supervisa continuamente los metadatos de las imágenes analizadas en Artifact Registry y Container Registry para detectar vulnerabilidades nuevas.
Artifact Analysis recibe información nueva y actualizada sobre vulnerabilidades de las fuentes de vulnerabilidades varias veces al día. Cuando llegan datos de vulnerabilidades nuevos, Artifact Analysis actualiza los metadatos de las imágenes analizadas para mantenerlos actualizados. Artifact Analysis actualiza los casos de vulnerabilidades existentes, crea casos de vulnerabilidades nuevos para las notas nuevas y borra los casos de vulnerabilidades que ya no son válidos.
Artifact Analysis solo actualiza los metadatos de las imágenes que se enviaron o extrajeron en los últimos 30 días. Después de 30 días, los metadatos ya no se actualizarán y los resultados estarán inactivos. Además, Artifact Analysis archiva los metadatos que están inactivos durante más de 90 días, y estos no estarán disponibles en la consola de Google Cloud , gcloud ni a través de la API. Para volver a analizar una imagen con metadatos inactivos o archivados, extráela. Los metadatos pueden tardar hasta 24 horas en actualizarse.
Listas de manifiestos
También puedes usar el análisis de vulnerabilidades con listas de manifiestos. Una lista de manifiestos es una lista de punteros a manifiestos para varias plataformas. Permiten que una sola imagen funcione con varias arquitecturas o variaciones de un sistema operativo.
El análisis de vulnerabilidades de Artifact Analysis solo admite imágenes amd64 de Linux. Si tu lista de manifiesto apunta a más de una imagen de Linux amd64, solo se analizará la primera. Si no hay punteros a imágenes de Linux amd64, no obtendrás ningún resultado del análisis.
Análisis a pedido
El análisis a pedido te permite analizar imágenes de contenedores de forma local en tu computadora o en tu registro con gcloud CLI. Esto te brinda la flexibilidad para personalizar tu canalización de CI/CD, según el momento en que necesites acceder a los resultados de vulnerabilidades.
Tipos de paquetes admitidos
Cuando envías imágenes de contenedores a repositorios de Docker en Artifact Registry, Artifact Analysis puede analizar vulnerabilidades en varios tipos de paquetes de SO y paquetes de lenguajes de aplicaciones.
Container Registry está obsoleto. Con Container Registry, el análisis automático solo analiza los paquetes del SO. Si usas Container Registry, obtén información para migrar a Artifact Registry.
En las siguientes tablas, se comparan los tipos de paquetes que Artifact Analysis puede analizar con cada servicio de análisis:
Paquetes de SO compatibles
| Análisis automático con Artifact Registry | Análisis automático con Container Registry (obsoleto) | Análisis a pedido | |
|---|---|---|---|
| SO AlmaLinux | |||
| Alpine | |||
| CentOS | |||
| Chainguard | |||
| Debian | |||
| Google Distroless | |||
| Red Hat Enterprise Linux (RHEL) | |||
| Imagen base universal (UBI) de Red Hat | |||
| Rocky Linux | |||
| SUSE Linux Enterprise Server (SLES) | |||
| Ubuntu | |||
| Wolfi |
Paquetes de idiomas de la aplicación compatibles
| Análisis automático con Artifact Registry | Análisis automático con Container Registry (obsoleto) | Análisis a pedido | |
|---|---|---|---|
| Paquetes de Go | |||
| Paquetes Java | |||
| Paquetes de Node.js | |||
| Paquetes de PHP | |||
| Paquetes de Python | |||
| Paquetes de Ruby | |||
| Paquetes de Rust | |||
| Paquetes de .NET |
Artifact Analysis solo analiza los paquetes de lenguaje de la aplicación en Artifact Registry cuando los paquetes se alojan en contenedores y se almacenan en un repositorio con formato de Docker. No se admiten los otros formatos de repositorios de Artifact Registry.
Para obtener más información sobre las funciones disponibles para cada producto del registro, consulta el cuadro comparativo.
Artifact Analysis no es compatible con los contenedores de Windows Server.
Interfaces de Artifact Analysis
En la consola de Google Cloud , puedes ver las vulnerabilidades de imágenes y los metadatos de los contenedores en Artifact Registry.
Puedes usar gcloud CLI para ver las vulnerabilidades y los metadatos de las imágenes.
También puedes usar la API de REST de Artifact Analysis para realizar cualquiera de estas acciones. Al igual que con otras APIs de Cloud Platform, debes autenticar el acceso con OAuth2. Una vez que te hayas autenticado, también puedes usar la API para crear notas y casos personalizados, y ver los casos de vulnerabilidades.
La API de Artifact Analysis admite gRPC y REST/JSON. Puedes realizar llamadas a la API a través de las bibliotecas cliente o mediante el uso de cURL para REST/JSON.
Controla la implementación de imágenes vulnerables
Puedes integrar Artifact Analysis en la autorización binaria para crear certificaciones, lo que puede evitar que las imágenes de contenedor con problemas de seguridad conocidos se ejecuten en tu entorno de implementación.
También puedes usar la Autorización Binaria para crear una lista de anunciantes permitidos de vulnerabilidades basada en la información de vulnerabilidades que proporciona Artifact Analysis como parte de tu implementación. Si las vulnerabilidades infringen la política en la lista de anunciantes permitidos, recibirás una alerta.
Por último, puedes usar el análisis a pedido para bloquear y rechazar compilaciones según la gravedad de las vulnerabilidades encontradas.
Fuentes de vulnerabilidades
En la siguiente sección, se enumeran las fuentes de vulnerabilidades que usa Artifact Analysis para obtener datos de CVE.
Análisis de paquetes del SO
Artifact Analysis usa las siguientes fuentes:
- SO AlmaLinux
- Alpine
- CentOS: Red Hat y CentOS comparten la misma fuente de datos de vulnerabilidades. Dado que los paquetes de CentOS se publican después de los de Red Hat, es posible que una corrección disponible para una vulnerabilidad en Red Hat tarde un tiempo en estar disponible también para CentOS.
- Chainguard
- Debian
- Google Distroless se basa en Debian y usa los datos de vulnerabilidades de Debian.
- Base de datos nacional de vulnerabilidades
- Red Hat Enterprise Linux (RHEL)
- Imagen base universal (UBI) de Red Hat
- Rocky Linux
- SUSE Linux Enterprise Server (SLES)
- Ubuntu
- Wolfi
Análisis de paquetes de idiomas
Artifact Analysis admite el análisis de vulnerabilidades para paquetes de lenguajes dentro de una imagen de contenedor. Los datos de vulnerabilidad se obtienen de la base de datos de asesoría de GitHub.
En la mayoría de los casos, a cada vulnerabilidad se le asigna un ID de CVE, que se convierte en el identificador principal de esa vulnerabilidad. En los casos en que no se asigna un ID de CVE a una vulnerabilidad, se asigna un ID de GHSA como identificador. Si, más adelante, esa vulnerabilidad obtiene un ID de CVE, el ID de vulnerabilidad se actualiza para que coincida con el de CVE. Consulta Cómo verificar si hay una vulnerabilidad específica en un proyecto para obtener más información.
Versiones de SO compatibles
Artifact Analysis admite el análisis de vulnerabilidades para las siguientes versiones de software del sistema operativo:
- SO AlmaLinux: Versiones: 8, 9 y versiones secundarias
- Alpine Linux: Versiones: 3.3, 3.4, 3.5, 3.6, 3.7, 3.8, 3.9, 3.10, 3.11, 3.12, 3.13, 3.14, 3.15, 3.16, 3.17, 3.18, 3.19, 3.20 y 3.21
- CentOS: Versiones: 6, 7, 8 y versiones secundarias
- Chainguard: Actualizaciones continuas en un segmento de versión único.
- Debian GNU/Linux: Versiones 11, 12 y 13
- Red Hat Enterprise Linux (RHEL) - Las versiones 7, 8 y 9, y las versiones secundarias, son compatibles con los análisis automáticos del registro.
- Red Hat Universal Base Image (UBI), versiones 8 y 9, y versiones secundarias
- Rocky Linux: Versiones 8 y 9, y versiones secundarias
- SUSE Linux Enterprise Server (SLES) - Versiones: 12, 15 y versiones secundarias; SLES para SAP también es compatible con las mismas versiones
- Ubuntu: Versiones: 14.04, 16.04, 18.04, 20.04, 22.04, 24.04, 24.10
- Wolfi: Actualizaciones continuas en un segmento de lanzamiento único.
Limitaciones
La función principal de Artifact Analysis es analizar y detectar vulnerabilidades en los contenedores, y hacer que esas vulnerabilidades sean visibles para tu organización. Artifact Analysis no afirma identificar características de las imágenes que podrían aumentar o disminuir la capacidad de tu organización para verificar la integridad o la confianza de una imagen. Para seguir desarrollando esta confianza, Google tiene soluciones que puedes usar de forma individual o combinada. Obtén más información sobre nuestro enfoque de seguridad de la cadena de suministro de software.
Artifact Analysis proporciona resultados del análisis de vulnerabilidades de RHEL basados en la versión secundaria más reciente de cada versión principal publicada. Es posible que haya errores en el análisis de los resultados de las versiones secundarias anteriores de RHEL.
La versión 9 de RHEL no es compatible con el análisis a pedido.
Administradores de paquetes y control de versiones semántico
- Go: Artifact Analysis informa sobre las vulnerabilidades de los paquetes en la biblioteca estándar de Go y los paquetes externos de Go que no se incluyen en la biblioteca estándar. Las vulnerabilidades se informan con una etiqueta diferente para cada tipo de paquete.
- Java: Artifact Analysis admite paquetes de Maven que siguen las convenciones de nombres de Maven. Si la versión del paquete incluye espacios, no se analizará.
- Node.js: La coincidencia de versiones de paquetes sigue la especificación de control de versiones semántico.
- PHP: Artifact Analysis analiza los paquetes de Composer. Consulta Control de versiones semántico de Composer.
- Python: La coincidencia de versiones de Python sigue la semántica de PEP 440.
- Ruby: Artifact Analysis analiza los paquetes de RubyGems. Consulta Control de versiones semántico de RubyGems.
- Rust: Artifact Analysis analiza los paquetes de Cargo. Consulta Control de versiones semántico de Rust.
- .NET: Artifact Analysis analiza los paquetes de NuGet. Consulta Control de versiones semántico de NuGet.