Artifact Analysis 是一系列服務,可提供軟體組合分析、中繼資料儲存和擷取功能。其偵測點內建於多個產品中,例如 Artifact Registry 和 Google Kubernetes Engine (GKE),可快速啟用。 Google Cloud 這項服務可與 Google Cloud的第一方產品搭配使用,也可以儲存第三方來源的資訊。掃描服務會使用通用安全漏洞儲存庫,將檔案與已知安全漏洞進行比對。
這項服務的舊稱為「容器分析」。新名稱不會變更現有產品或 API,但反映產品的功能範圍已超越容器。
圖 1. 這張圖表顯示構件分析在來源、建構、儲存、部署和執行階段環境中建立中繼資料,並與中繼資料互動。
登錄掃描
本節將概述以 Artifact Registry 為基礎的 Artifact Analysis 安全漏洞掃描功能,並列出相關的 Google Cloud產品,讓您啟用互補功能來支援安全性態勢。
在 Artifact Registry 中自動掃描
- 每次將新映像檔推送至 Artifact Registry 或 Container Registry (已淘汰) 時,掃描程序就會自動觸發。當我們發現新的安全漏洞時,安全漏洞資訊會持續更新。Artifact Registry 會掃描應用程式語言套件。如要開始使用,請啟用自動掃描功能。
透過 Security Command Center 集中管理風險
- Security Command Center 可集中管理雲端安全性,提供安全漏洞掃描、威脅偵測、防護機制監控和資料管理功能。只要整合 Artifact Registry,您就能在 Security Command Center 中查看所有專案中執行的工作負載中的容器映像檔安全漏洞,以及其他安全性風險。您也可以將這些發現匯出至 BigQuery,進行深入分析並長期儲存。詳情請參閱「Artifact Registry 安全漏洞評估」。
GKE 工作負載安全漏洞掃描 - 標準層
- 工作負載安全漏洞掃描功能是 GKE 安全防護機制資訊主頁的一部分,可偵測容器映像檔作業系統的安全漏洞。掃描功能免費提供,每個叢集都可以啟用。您可以在安全防護機制資訊主頁中查看結果。
GKE 工作負載安全漏洞掃描 - 進階安全漏洞洞察資訊
- 除了基本容器 OS 掃描功能,GKE 使用者還可以升級至進階安全漏洞分析,充分運用持續偵測語言套件安全漏洞的功能。您必須在叢集中手動啟用這項功能,之後才能取得 OS 和語言套件安全漏洞結果。進一步瞭解 GKE 工作負載中的安全漏洞掃描。
隨選掃描
- 這項服務並非持續性服務,您必須執行指令才能手動啟動掃描作業。掃描完成後,最多需要 48 小時才能取得掃描結果。掃描完成後,安全漏洞資訊不會更新。您可以掃描本機儲存的映像檔,而無須先將這些映像檔推送至 Artifact Registry、Container Registry 或 GKE 執行階段。詳情請參閱按需求掃描。
存取中繼資料
Artifact Analysis 是 Google Cloud 基礎架構元件,可讓您儲存及擷取 Google Cloud資源的結構化中繼資料。在發布程序的各個階段中,使用者或自動化系統可以新增用於敘述活動結果的中繼資料。舉例來說,您可以將中繼資料新增至映像檔,表示其已通過整合測試套件或安全漏洞掃描。
將 Artifact Analysis 整合至 CI/CD 管道後,您就能根據中繼資料做出決策。舉例來說,您可以使用二進位授權建立部署政策,只允許部署來自受信任登錄的符合規範映像檔。
Artifact Analysis 會透過註記和例項,將中繼資料與圖片建立關聯。如要進一步瞭解這些概念,請參閱中繼資料管理頁面。
如果您將 Artifact Analysis 與 Container Registry 搭配使用,這兩項產品會使用相同的 Artifact Analysis API 和 Pub/Sub 主題。不過,最新的 Artifact Analysis 功能僅適用於 Artifact Registry。進一步瞭解如何從 Container Registry 轉換。
如要瞭解如何使用 Artifact Analysis 管理中繼資料,以及選用安全漏洞掃描服務的費用,請參閱 Artifact Analysis 說明文件。