Tipi di scansione

L'Artifact Analysis fornisce due funzionalità per la scansione dei container: la scansione on demand e la scansione automatica. Questo documento illustra i vantaggi di ciascuno. Artifact Analysis fornisce anche la gestione dei metadati. Per scoprire di più su come utilizzare la scansione e lo spazio di archiviazione dei metadati per proteggere la pipeline CI/CD da un'estremità all'altra, consulta la Panoramica di Artifact Analysis.

Le analisi automatiche e su richiesta possono identificare le vulnerabilità nel sistema operativo e nei pacchetti di linguaggi (Java e Go). Tuttavia, la scansione automatica dei pacchetti di lingue è disponibile solo per Artifact Registry.

Per un elenco dei tipi di analisi supportati per ogni prodotto del registry, consulta la tabella di confronto. Se utilizzi Container Registry, scopri come eseguire la transizione ad Artifact Registry.

Consulta la pagina Prezzi per scoprire di più sui costi associati alla scansione delle immagini dei container.

Scansione on demand

La scansione on demand ti consente di eseguire la scansione delle immagini container localmente sul computer o nel registry utilizzando la gcloud CLI. In questo modo hai la flessibilità di personalizzare la pipeline CI/CD, a seconda di quando devi accedere ai risultati relativi alle vulnerabilità.

Scansione automatica

L'Artifact Analysis esegue analisi delle vulnerabilità sugli elementi in Artifact Registry o Container Registry. Artifact Analysis monitora inoltre le informazioni sulle vulnerabilità per mantenerle aggiornate. Questo processo comprende due attività principali: la scansione on-push e l'analisi continua.

Scansione push

Artifact Analysis esegue la scansione delle nuove immagini quando vengono caricate su Artifact Registry o Container Registry. Questa scansione estrae informazioni sui pacchetti di sistema nel contenitore. Le immagini vengono sottoposte a scansione una sola volta, in base al digest dell'immagine. Ciò significa che l'aggiunta o la modifica dei tag non attiverà nuove scansioni, ma solo la modifica dei contenuti dell'immagine.

Artifact Analysis rileva solo i pacchetti monitorati pubblicamente per vulnerabilità di sicurezza.

Al termine della scansione di un'immagine, il risultato della vulnerabilità prodotto è la raccolta delle occorrenze di vulnerabilità per quell'immagine.

Analisi continua

Artifact Analysis crea occorrenze per le vulnerabilità rilevate al caricamento dell'immagine. Dopo la scansione iniziale, monitora continuamente i metadati delle immagini sottoposte a scansione in Artifact Registry e Container Registry per rilevare nuove vulnerabilità.

Artifact Analysis riceve informazioni sulle vulnerabilità nuove e aggiornate da origini di vulnerabilità più volte al giorno. Quando vengono acquisiti nuovi dati sulle vulnerabilità, Artifact Analysis aggiorna i metadati delle immagini sottoposte a scansione per mantenerli aggiornati. Artifact Analysis aggiorna le occorrenze di vulnerabilità esistenti, crea nuove occorrenze di vulnerabilità per le nuove note ed elimina le occorrenze di vulnerabilità che non sono più valide.

Artifact Analysis aggiorna solo i metadati delle immagini che sono state inviate o rimosse negli ultimi 30 giorni. Dopo 30 giorni, i metadati non verranno più aggiornati e i risultati non saranno più aggiornati. Inoltre, Artifact Analysis archivia i metadati inattivi da più di 90 giorni, che non saranno disponibili nella console Google Cloud, in gcloud o tramite l'API. Per eseguire di nuovo la scansione di un'immagine con metadati obsoleti o archiviati, esegui il pull dell'immagine. L'aggiornamento dei metadati può richiedere fino a 24 ore.

Elenchi manifest

Puoi anche utilizzare analisi delle vulnerabilità con gli elenchi manifest. Un elenco di manifest è un elenco di puntatori ai manifest per diverse piattaforme. Consentono a una singola immagine di funzionare con più architetture o varianti di un sistema operativo.

L'analisi delle vulnerabilità di Artifact Analysis supporta solo le immagini Linux amd64. Se l'elenco manifest rimanda a più immagini Linux amd64, verrà analizzata solo la prima. Se non sono presenti indicatori di immagini Linux amd64, non verranno visualizzati risultati di analisi.

Passaggi successivi