Artifact Analysis es una familia de servicios que proporciona análisis de composición de software, almacenamiento y recuperación de metadatos. Sus puntos de detección se incorporan en varios productos de Google Cloud , como Artifact Registry y Google Kubernetes Engine (GKE), para una habilitación rápida. El servicio funciona con ambos productos propios de Google Cloudy también te permite almacenar información de fuentes externas. Los servicios de análisis usan un almacén común de vulnerabilidades para establecer correspondencias entre los archivos con las vulnerabilidades conocidas.
Este servicio antes se conocía como Container Analysis. El nuevo nombre no cambia los productos ni las APIs existentes, sino que refleja la expansión de la gama de funciones del producto más allá de los contenedores.
Figura 1. Diagrama que muestra cómo Artifact Analysis crea y, luego, interactúa con metadatos en los entornos de origen, compilación, almacenamiento, implementación y tiempo de ejecución.
Análisis del registro
En esta sección, se describen las funciones de análisis de vulnerabilidades de Artifact Analysisbasadas en Artifact Registry y se enumeran los productos Google Cloudrelacionados en los que puedes habilitar capacidades complementarias para respaldar tu postura de seguridad.
Búsqueda automática en Artifact Registry
- El proceso de análisis se activa automáticamente cada vez que envías una imagen nueva a Artifact Registry o Container Registry (obsoleto). La información sobre vulnerabilidades se actualiza de forma continua cuando se descubren vulnerabilidades nuevas. Artifact Registry incluye el análisis de paquetes de lenguaje de la aplicación. Para comenzar, habilita el análisis automático.
Administración de riesgos centralizada con Security Command Center
- Security Command Center centraliza tu seguridad en la nube y ofrece análisis de vulnerabilidades, detección de amenazas, supervisión de posturas y administración de datos. Cuando integras Artifact Registry, puedes ver las vulnerabilidades de las imágenes de contenedores en tus cargas de trabajo en ejecución en todos los proyectos junto con tus otros riesgos de seguridad en Security Command Center. También puedes exportar estos resultados a BigQuery para realizar un análisis detallado y almacenamiento a largo plazo. Para obtener más información, consulta la evaluación de vulnerabilidades de Artifact Registry.
Análisis de vulnerabilidades de las cargas de trabajo de GKE: nivel estándar
- Como parte del panel de postura de seguridad de GKE, el análisis de vulnerabilidades de las cargas de trabajo proporciona la detección de vulnerabilidades del SO de las imágenes de contenedor. El análisis es gratuito y se puede habilitar por clúster. Los resultados están disponibles para verlos en el panel de postura de seguridad.
Análisis de vulnerabilidades de las cargas de trabajo de GKE: Estadísticas avanzadas de vulnerabilidades
- Además del análisis básico del SO de contenedores, los usuarios de GKE pueden actualizar a las estadísticas avanzadas de vulnerabilidades para aprovechar la detección continua de vulnerabilidades de paquetes de lenguaje. Debes habilitar esta función de forma manual en tus clústeres. Luego, recibirás los resultados de las vulnerabilidades del SO y de los paquetes de lenguaje. Obtén más información sobre el análisis de vulnerabilidades en las cargas de trabajo de GKE.
Análisis a pedido
- Este servicio no es continuo. Debes ejecutar un comando para iniciar el análisis de forma manual. Los resultados del análisis están disponibles hasta 48 horas después de que se completa. La información de la vulnerabilidad no se actualiza después de que finaliza el análisis. Puedes analizar imágenes almacenadas de forma local sin tener que enviarlas primero a Artifact Registry, Container Registry o los entornos de ejecución de GKE. Para obtener más información, consulta análisis a pedido.
Cómo acceder a los metadatos
Artifact Analysis es un componente de la infraestructura de Google Cloud que te permitealmacenar y recuperar metadatos estructurados para los recursos de Google Cloud. En varias fases del proceso de lanzamiento, las personas o los sistemas automatizados pueden agregar metadatos que describen el resultado de una actividad. Por ejemplo, puedes agregar metadatos a la imagen para indicar que aprobó un conjunto de pruebas de integración o un análisis de vulnerabilidades.
Con Artifact Analysis integrado en tu canalización de CI/CD, puedes tomar decisiones basadas en esos metadatos. Por ejemplo, puedes usar la Autorización binaria para crear políticas de implementación que solo permitan implementaciones de imágenes que cumplan con los requisitos de registros de confianza.
Artifact Analysis asocia metadatos con imágenes a través de notas y casos. Para obtener más información sobre estos conceptos, consulta la página de administración de metadatos.
Si usas Artifact Analysis con Container Registry, ambos productos usan las mismas APIs de Artifact Analysis y temas de Pub/Sub. Sin embargo, las funciones más recientes de Artifact Analysis solo están disponibles para Artifact Registry. Obtén más información para migrar desde Container Registry.
Para obtener información sobre el uso de Artifact Analysis para la administración de metadatos y los costos del servicio opcional de análisis de vulnerabilidades, consulta la documentación de Artifact Analysis.