容器分析提供兩種掃描容器的功能:隨選掃描和自動掃描。本文將介紹各項功能的優點。成果分析功能也提供中繼資料管理功能。如要進一步瞭解如何同時運用掃描和中繼資料儲存空間,確保 CI/CD 管道的端對端安全性,請參閱「Artifact Analysis 總覽」。
您可以使用隨選和自動掃描功能,找出作業系統和語言套件 (Java 和 Go) 中的安全漏洞。不過,自動語言套件掃描功能僅適用於 Artifact Registry。
如需各註冊產品支援的掃描類型清單,請參閱比較圖表。如果您使用的是 Container Registry,請參閱這篇文章,瞭解如何轉換至 Artifact Registry。
請參閱定價,進一步瞭解掃描容器映像檔的相關費用。
隨選掃描
隨選掃描功能可讓您使用 gcloud CLI,在電腦本機或登錄檔中掃描容器映像檔。這樣一來,您就能視需要存取安全漏洞結果,彈性自訂 CI/CD 管道。
自動掃描
構件分析會針對 Artifact Registry 或 Container Registry 中的構件執行安全漏洞掃描。Artifact Analysis 也會監控安全漏洞資訊,確保資訊保持最新狀態。這個程序包含兩項主要工作:上傳時掃描和持續分析。
推送掃描
將新的映像檔上傳至 Artifact Registry 或 Container Registry 時,Artifact Analysis 會掃描這些映像檔。這項掃描作業會擷取容器中的系統套件相關資訊。系統會根據圖片摘要,只掃描圖片一次。也就是說,新增或修改標記不會觸發新的掃描作業,只有變更圖片內容才會觸發。
Artifact Analysis 只會偵測公開監控的安全漏洞套件。
完成映像檔的掃描時,產生的安全漏洞結果是該映像檔的安全漏洞例項集合。
持續分析
當您上傳映像檔時,Artifact Analysis 會針對所發現的安全漏洞建立例項。初始掃描作業完成後,這項功能會持續監控 Artifact Registry 和 Container Registry 中掃描映像檔的中繼資料,檢查是否有新的安全漏洞。
Artifact Analysis 每天會多次從安全漏洞來源接收新的安全漏洞資訊和更新資訊。收到新安全漏洞資料時,Artifact Analysis 會更新掃描映像檔的中繼資料,確保資料保持最新狀態。Artifact Analysis 會更新現有的安全漏洞例項、為新註記建立新的安全漏洞例項,並刪除不再有效的安全漏洞例項。
Artifact Analysis 只會更新過去 30 天內推送或提取的映像檔中繼資料。30 天後,系統就不會再更新這些中繼資料,且結果會失效。此外,Artifact Analysis 會封存過時逾 90 天的中繼資料,且中繼資料不會顯示在 Google Cloud 控制台、gcloud 或 API 中。如要重新掃描安全漏洞中繼資料已過時或已封存的映像檔,請提取該映像檔。重新整理中繼資料最多可能需要 24 小時。
資訊清單表
您也可以使用資訊清單進行漏洞掃描。資訊清單是指向多個平台資訊清單的指標清單。可讓單一映像檔支援多個架構或作業系統變化版本。
Artifact Analysis 安全漏洞掃描功能僅支援 Linux amd64 映像檔。如果清單指標指向多個 Linux amd64 映像檔,系統只會掃描第一個映像檔;如果沒有指向 Linux amd64 映像檔的指標,您就不會收到任何掃描結果。