Artifact Analysis fornisce l'analisi delle vulnerabilità e l'archiviazione dei metadati per i container. Il servizio di scansione esegue analisi delle vulnerabilità sulle immagini in Artifact Registry e in Container Registry, quindi archivia i metadati risultanti e li rende disponibili per l'utilizzo tramite un'API. L'archiviazione dei metadati consente di archiviare informazioni provenienti da diverse origini, tra cui analisi delle vulnerabilità, altri servizi Cloud e provider di terze parti.
Artifact Analysis come API di informazioni strategiche
Nel contesto della pipeline CI/CD, l'Artifact Analysis può essere integrata per memorizzare i metadati relativi al processo di implementazione e prendere decisioni in base a questi metadati.
Nelle varie fasi del processo di rilascio, persone o sistemi automatici possono aggiungere metadati che descrivono il risultato di un'attività. Ad esempio, potresti aggiungere metadati all'immagine per indicare che ha superato una suite di test di integrazione o una scansione delle vulnerabilità.
Figura 1. Diagramma che mostra Container Analysis come componente della pipeline CI/CD che interagisce con i metadati nelle fasi di origine, compilazione, archiviazione e deployment, nonché negli ambienti di runtime.
L'analisi delle vulnerabilità può essere eseguita automaticamente o su richiesta:
Quando la scansione automatica è attivata, la scansione si attiva automaticamente ogni volta che esegui il push di una nuova immagine in Artifact Registry o Container Registry. Le informazioni sulle vulnerabilità vengono aggiornate costantemente quando vengono scoperte nuove vulnerabilità.
Quando On-Demand Scanning è abilitato, devi eseguire un comando per eseguire la scansione di un'immagine locale o di un'immagine in Artifact Registry o Container Registry. On-Demand Scanning ti offre maggiore flessibilità in merito al momento in cui eseguire la scansione dei container. Ad esempio, puoi eseguire la scansione di un'immagine compilata localmente e correggere le vulnerabilità prima di memorizzarla in un registry.
I risultati della scansione sono disponibili fino a 48 ore dopo il suo completamento e le informazioni sulle vulnerabilità non vengono aggiornate dopo la scansione.
Con l'analisi degli elementi integrata nella pipeline CI/CD, puoi prendere decisioni in base a questi metadati. Ad esempio, puoi utilizzare Autorizzazione binaria per creare criteri di deployment che consentano solo i deployment di immagini conformi provenienti da registry attendibili.
Per informazioni sull'utilizzo di Artifact Analysis, consulta la documentazione di Artifact Analysis.