Artifact Analysis proporciona dos funciones para analizar tus contenedores: el análisis a pedido y el análisis automático. En este documento, se presentan los beneficios de cada una. Artifact Analysis también proporciona administración de metadatos. Para obtener más información sobre cómo puedes aprovechar el análisis y el almacenamiento de metadatos para proteger tu canalización de CI/CD de extremo a extremo, consulta la descripción general de Artifact Analysis.
Los análisis automáticos y a pedido pueden identificar vulnerabilidades en tu sistema operativo y en los paquetes de lenguaje (Java y Go). Sin embargo, el análisis automático de paquetes de idioma solo está disponible para Artifact Registry.
Para obtener una lista de los tipos de análisis compatibles para cada producto del registro, consulta el gráfico de comparación. Si usas Container Registry, obtén información para migrar a Artifact Registry.
Consulta los precios para obtener más información sobre los costos asociados con el análisis de imágenes de contenedores.
Análisis a pedido
El escaneo on demand te permite analizar imágenes de contenedores de forma local en tu computadora o en tu registro con gcloud CLI. Esto te brinda la flexibilidad para personalizar tu canalización de CI/CD, según cuándo necesites acceder a los resultados de las vulnerabilidades.
Búsqueda automática
Artifact Analysis realiza análisis de vulnerabilidades en tus artefactos en Artifact Registry o Container Registry. Artifact Analysis también supervisa la información sobre las vulnerabilidades para mantenerla actualizada. Este proceso comprende dos tareas principales: el escaneo en el envío y el análisis continuo.
Análisis en el envío
Artifact Analysis analiza las imágenes nuevas cuando se suben a Artifact Registry o Container Registry. Este análisis extrae información sobre los paquetes del sistema en el contenedor. Las imágenes se escanean solo una vez, según el resumen de la imagen. Esto significa que agregar o modificar etiquetas no activará análisis nuevos, solo lo hará cambiar el contenido de la imagen.
Artifact Analysis solo detecta paquetes supervisados de forma pública para detectar vulnerabilidades de seguridad.
Cuando se completa el análisis de una imagen, el resultado de vulnerabilidad producido es el conjunto de casos de vulnerabilidades para esa imagen.
Análisis continuo
Artifact Analysis crea casos para las vulnerabilidades que se encuentran cuando subes la imagen. Después del análisis inicial, supervisa continuamente los metadatos de las imágenes analizadas en Artifact Registry y Container Registry para detectar vulnerabilidades nuevas.
Artifact Analysis recibe información nueva y actualizada sobre vulnerabilidades de las fuentes de vulnerabilidades varias veces al día. Cuando llegan datos de vulnerabilidades nuevos, Artifact Analysis actualiza los metadatos de las imágenes analizadas para mantenerlas actualizadas. Artifact Analysis actualiza los casos de vulnerabilidades existentes, crea casos de vulnerabilidades nuevos para las notas nuevas y borra los casos de vulnerabilidades que ya no son válidos.
Artifact Analysis solo actualiza los metadatos de las imágenes que se enviaron o extrajeron en los últimos 30 días. Después de 30 días, los metadatos ya no se actualizarán y los resultados estarán inactivos. Además, Artifact Analysis archiva los metadatos que están inactivos durante más de 90 días, y estos no estarán disponibles en la consola de Google Cloud, gcloud ni a través de la API. Para volver a analizar una imagen con metadatos inactivos o archivados, extrae esa imagen. La actualización de los metadatos puede tardar hasta 24 horas.
Listas de manifiestos
También puedes usar el análisis de vulnerabilidades con listas de manifiestos. Una lista de manifiestos es una lista de punteros a manifiestos de varias plataformas. Permiten que una sola imagen funcione con varias arquitecturas o variaciones de un sistema operativo.
El análisis de vulnerabilidades de Artifact Analysis solo admite imágenes amd64 de Linux. Si tu lista de manifiestos apunta a más de una imagen de Linux amd64, solo se analizará la primera. Si no hay punteros a imágenes de Linux amd64, no obtendrás ningún resultado del análisis.