O Artifact Analysis oferece dois recursos para verificar seus contêineres: verificação sob demanda e verificação automática. Este documento apresenta os benefícios de cada um. Artifact Analysis também oferece gerenciamento de metadados. Para saber mais sobre como usar a verificação e o armazenamento de metadados juntos para proteger seu pipeline de CI/CD de ponta a ponta, consulte a visão geral da Análise de artefatos.
A verificação automática e sob demanda pode identificar vulnerabilidades no seu sistema operacional e em pacotes de linguagens (Java e Go). No entanto, a verificação automática de pacotes de idiomas está disponível apenas para o Artifact Registry.
Para conferir uma lista de tipos de verificação compatíveis com cada produto de registro, consulte a tabela de comparação.
Consulte os preços para saber mais sobre os custos associados à verificação de imagens de contêiner.
Verificação sob demanda
Com a verificação sob demanda, é possível verificar imagens de contêiner localmente no computador ou no registro usando a CLI gcloud. Isso oferece a flexibilidade de personalizar seu pipeline de CI/CD, dependendo de quando você precisa acessar os resultados de vulnerabilidade.
Verificação automática
O Artifact Analysis realiza verificações de vulnerabilidades nos seus artefatos no Artifact Registry. O Artifact Analysis também monitora as informações de vulnerabilidade para mantê-las atualizadas. Esse processo inclui duas tarefas principais: verificação por push e análise contínua.
Verificação por push
O Artifact Analysis verifica novas imagens quando elas são enviadas para o Artifact Registry. Essa verificação extrai informações sobre os pacotes do sistema no contêiner. As imagens são verificadas apenas uma vez, com base no resumo da imagem. Isso significa que a adição ou modificação de tags não acionará novas verificações, apenas a mudança do conteúdo da imagem.
O Artifact Analysis só detecta pacotes monitorados publicamente quanto a vulnerabilidades de segurança.
Quando a varredura de uma imagem é concluída, o resultado de vulnerabilidade é uma coleção das ocorrências de vulnerabilidade de uma imagem.
Análise contínua
O Artifact Analysis cria ocorrências de vulnerabilidades encontradas quando você faz upload da imagem. Após a verificação inicial, ele monitora continuamente os metadados de imagens verificadas no Artifact Registry para detectar novas vulnerabilidades.
O Artifact Analysis recebe informações de vulnerabilidade novas e atualizadas de origens de vulnerabilidade várias vezes por dia. Quando novos dados de vulnerabilidade chegam, o Artifact Analysis atualiza os metadados das imagens verificadas para mantê-los atualizados. O Artifact Analysis atualiza as ocorrências de vulnerabilidade atuais, cria novas ocorrências de vulnerabilidade para novas notas e exclui ocorrências de vulnerabilidade que não são mais válidas.
O Artifact Analysis só atualiza os metadados de imagens enviadas ou extraídas nos últimos 30 dias. Após 30 dias, os metadados não serão mais atualizados, e os resultados vão ficar desatualizados. Além disso, o Artifact Analysis arquiva metadados que estão desatualizados há mais de 90 dias, e eles não ficam disponíveis no console Google Cloud , na gcloud ou usando a API. Para verificar novamente uma imagem com metadados desatualizados ou arquivados, extraia essa imagem. A atualização dos metadados pode levar até 24 horas.
Listas de manifestos
Também é possível usar a verificação de vulnerabilidades com listas de manifestos. Uma lista de manifestos é uma lista de ponteiros para manifestos de várias plataformas. Elas permitem que uma única imagem funcione com várias arquiteturas ou variações de um sistema operacional.
A verificação de vulnerabilidades do Artifact Analysis só é compatível com imagens Linux amd64. Se a lista de manifestos apontar para mais de uma imagem Linux amd64, apenas a primeira será verificada. Se não houver ponteiros para imagens Linux amd64, você não vai receber nenhum resultado de verificação.