Análise de artefatos e verificação de vulnerabilidades
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
O Artifact Analysis é um conjunto de serviços que oferecem análise de composição de software, armazenamento de metadados e recuperação. Os pontos de detecção são integrados a vários produtos do Google Cloud , como o Artifact Registry e o Google Kubernetes Engine (GKE), para uma ativação rápida. O serviço funciona com os produtos próprios do Google Cloude permite que você armazene informações de fontes externas. Os serviços de verificação usam um repositório de vulnerabilidades comuns para fazer a correspondência entre arquivos e vulnerabilidades conhecidas.
Esse serviço era conhecido como Container Analysis. O novo nome não muda os produtos ou APIs atuais, mas reflete a variedade crescente de recursos do produto além dos contêineres.
Figura 1. Diagrama que mostra o Artifact Analysis criando e interagindo com metadados em ambientes de origem, build, armazenamento, implantação e execução.
Verificação do registro
Esta seção descreve os recursos de verificação de vulnerabilidades do Artifact Analysis
com base no Artifact Registry e lista os produtos Google Cloud
relacionados em que você pode ativar recursos complementares para apoiar sua
postura de segurança.
Verificação automática no Artifact Registry
O processo de verificação é acionado automaticamente sempre que você envia uma nova
imagem para o Artifact Registry.
As informações de vulnerabilidade são atualizadas continuamente quando novas vulnerabilidades são descobertas. O Artifact Registry inclui a verificação de pacotes de linguagem
de aplicativos. Para começar, ative a verificação automática.
Gerenciamento de riscos centralizado com o Security Command Center
O Security Command Center centraliza sua segurança na nuvem, oferecendo verificação de vulnerabilidades, detecção de ameaças, monitoramento de postura e gerenciamento de dados.
O Security Command Center agrega descobertas de vulnerabilidades das verificações do Artifact Registry, permitindo que você veja as vulnerabilidades de imagens de contêiner nas suas cargas de trabalho em execução, em todos os projetos, junto com os outros riscos de segurança no Security Command Center. Também é possível exportar essas descobertas para o BigQuery para uma análise detalhada e armazenamento de longo prazo.
Para mais informações, consulte
Avaliação de vulnerabilidades do Artifact Registry.
Verificação de vulnerabilidades da carga de trabalho do GKE: nível padrão
Como parte do painel de postura de segurança do GKE, a verificação de vulnerabilidades da carga de trabalho detecta vulnerabilidades do SO da imagem do contêiner. A verificação é gratuita e pode ser ativada por cluster. Os resultados podem ser acessados no painel de postura de segurança.
Verificação de vulnerabilidades da carga de trabalho do GKE: Advanced Vulnerability Insights
Além da verificação básica do SO do contêiner, os usuários do GKE
podem fazer upgrade para insights avançados sobre vulnerabilidades e aproveitar a
detecção contínua de vulnerabilidades em pacotes de linguagem. É necessário ativar manualmente
esse recurso nos clusters. Depois disso, você vai receber resultados de vulnerabilidade do SO e do pacote
de idiomas. Saiba mais sobre a
verificação de vulnerabilidades em cargas de trabalho do GKE.
Verificação sob demanda
Esse serviço não é contínuo. Você precisa executar um comando para iniciar a verificação manualmente. Os resultados da verificação ficam disponíveis até 48 horas após a conclusão. As informações de vulnerabilidade não são atualizadas depois que a verificação é concluída. É possível verificar imagens armazenadas localmente sem precisar enviá-las primeiro para o Artifact Registry ou os tempos de execução do GKE. Para
saber mais, consulte verificação sob demanda.
Acessar metadados
O Artifact Analysis é um componente de infraestrutura Google Cloud que permite armazenar e recuperar metadados estruturados para recursos Google Cloud. Em várias fases do processo de lançamento, pessoas ou sistemas automatizados podem adicionar metadados que descrevem o resultado de uma atividade. Por
exemplo, você pode adicionar metadados à sua imagem indicando que ela passou por
um conjunto de testes de integração ou por uma verificação de vulnerabilidades.
Com o Artifact Analysis integrado ao pipeline de CI/CD, é possível
tomar decisões com base em metadados. Por exemplo, é possível usar a
autorização binária para criar políticas de implantação
que permitam somente implantações de imagens compatíveis a partir de registros confiáveis.
O Artifact Analysis associa metadados a imagens por meio de notas e ocorrências. Para saber mais sobre esses conceitos, consulte a
página de gerenciamento de metadados.
Para saber como usar o Artifact Analysis no gerenciamento de metadados e os custos do serviço opcional de verificação de vulnerabilidades, consulte a documentação do Artifact Analysis.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-18 UTC."],[[["\u003cp\u003eArtifact Analysis provides software composition analysis, metadata storage, and retrieval, extending beyond containers to various software artifacts.\u003c/p\u003e\n"],["\u003cp\u003eAutomatic scanning is triggered upon pushing new images to Artifact Registry, with continuous updates for newly discovered vulnerabilities and support for application language package scanning.\u003c/p\u003e\n"],["\u003cp\u003eGKE offers both standard and advanced vulnerability scanning tiers, with the latter including continual language package vulnerability detection, which can be manually enabled per cluster.\u003c/p\u003e\n"],["\u003cp\u003eOn-demand scanning allows for manual scans of images without needing to push them to a registry, but results are not continually updated and are available only up to 48 hours after the scan.\u003c/p\u003e\n"],["\u003cp\u003eMetadata, such as test results or vulnerability scan outcomes, can be stored and retrieved through Artifact Analysis to make informed decisions during the CI/CD pipeline, including defining deployment policies with Binary Authorization.\u003c/p\u003e\n"]]],[],null,["# Artifact analysis and vulnerability scanning\n\nArtifact Analysis is a family of services that provide software\ncomposition analysis, metadata storage and retrieval. Its detection points are\nbuilt into a number of Google Cloud products such as Artifact Registry and\nGoogle Kubernetes Engine (GKE) for quick enablement. The service works with\nboth Google Cloud's first-party products and also lets you store\ninformation from third-party sources. The scanning services use a common\nvulnerability store for matching files against known vulnerabilities.\n\nThis service was formerly known as Container Analysis. The new name does not\nchange existing products or APIs, but reflects the product's expanding range of\nfeatures beyond containers.\n\n**Figure 1.** Diagram that shows Artifact Analysis creating and interacting\nwith metadata across source, build, storage, deployment and runtime\nenvironments.\n\nRegistry scanning\n-----------------\n\nThis section outlines Artifact Analysis vulnerability scanning\nfeatures based in Artifact Registry, and lists related Google Cloud\nproducts where you can enable complementary capabilities to support your\nsecurity posture.\n\n### Automatic scanning in Artifact Registry\n\n- The scanning process is triggered automatically every time you push a new image to Artifact Registry. The vulnerability information is continuously updated when new vulnerabilities are discovered. Artifact Registry includes application language package scanning. To get started, enable [automatic scanning](/artifact-analysis/docs/os-overview).\n\n### Centralized risk management with Security Command Center\n\n|\n| **Preview**\n|\n|\n| This product or feature is subject to the \"Pre-GA Offerings Terms\" in the General Service Terms section\n| of the [Service Specific Terms](/terms/service-terms#1).\n|\n| Pre-GA products and features are available \"as is\" and might have limited support.\n|\n| For more information, see the\n| [launch stage descriptions](/products#product-launch-stages).\n\n- Security Command Center centralizes your cloud security, offering vulnerability scanning, threat detection, posture monitoring, and data management. Security Command Center aggregates vulnerability findings from Artifact Registry scans, allowing you to view container image vulnerabilities within your running workloads, across all projects alongside your other security risks in Security Command Center. You can also export these findings to BigQuery for in-depth analysis and long-term storage. For more information, see [Artifact Registry vulnerability assessment](/security-command-center/docs/concepts-security-sources#ar-vuln-assessment).\n\n### GKE workload vulnerability scanning - standard tier\n\n| **Caution:** Starting on July 23, 2024, standard tier/container OS vulnerability scanning is deprecated and is scheduled for shutdown on July 31, 2025. For more information about deprecation and shutdown dates, see [Vulnerability scanning removal from GKE](/kubernetes-engine/docs/deprecations/vulnerability-scanning-gkee).\n\n- As part of GKE security posture dashboard, workload vulnerability scanning provides detection of container image OS vulnerabilities. Scanning is free and can be enabled per cluster. Results are available to view in the [security posture dashboard](/kubernetes-engine/docs/concepts/about-security-posture-dashboard).\n\n### GKE workload vulnerability scanning - advanced vulnerability insights\n\n| **Caution:** Starting on June 16, 2025 Advanced Vulnerability Insights is deprecated and is scheduled for shutdown on June 16, 2026 as part of the deprecation of various GKE security posture dashboard features. For more information about deprecation and shutdown dates, see [Vulnerability\n| scanning removal from GKE](/kubernetes-engine/docs/deprecations/vulnerability-scanning-gkee).\n\n- In addition to basic container OS scanning, GKE users can upgrade to *advanced vulnerability insights* to take advantage of continual language package vulnerability detection. You must manually enable this feature on your clusters, after which you'll receive OS and language package vulnerability results. Learn more about [vulnerability scanning in GKE workloads](/kubernetes-engine/docs/how-to/security-posture-vulnerability-scanning).\n\nOn-Demand scanning\n------------------\n\n- This service is not continual; you must run a command to manually initiate the scan. Scan results are available up to 48 hours after the scan is completed. The vulnerability information is not updated after the scan is finished. You can scan images stored locally, without having to push them to Artifact Registry or GKE runtimes first. To learn more, see [on-demand scanning](/artifact-analysis/docs/os-scanning-on-demand).\n\nAccess metadata\n---------------\n\n- Artifact Analysis is a Google Cloud infrastructure\n component that lets you\n [store and retrieve structured metadata](/artifact-analysis/docs/metadata-management-overview) for Google Cloud\n resources. At various phases of your release process, people or automated\n systems can add metadata that describes the result of an activity. For\n example, you can add metadata to your image indicating that the image has\n passed an integration test suite or a vulnerability scan.\n\n- With Artifact Analysis integrated into your CI/CD pipeline, you\n can make decisions based on metadata. For example, you can use\n [Binary Authorization](/binary-authorization/docs) to create deployment policies\n that only allow deployments for compliant images from trusted registries.\n\n- Artifact Analysis associates metadata with images through **notes** and\n **occurrences** . To learn more about these concepts, see the\n [metadata management page](/artifact-analysis/docs/metadata-management-overview).\n\nTo learn about using Artifact Analysis for metadata management, and\ncosts for the optional vulnerability scanning service, see the\n[Artifact Analysis documentation](/artifact-analysis/docs)."]]
