容器分析和安全漏洞掃描

容器分析會透過 Artifact Analysis 為容器提供安全漏洞掃描和中繼資料儲存空間。掃描服務會針對 Artifact Registry 和 Container Registry 中的映像檔執行安全漏洞掃描，然後儲存結果中繼資料，並透過 API 供使用者取用。中繼資料儲存空間可儲存來自不同來源的資訊，包括漏洞掃描、其他雲端服務和第三方供應商。

將 Artifact Analysis 視為策略性資訊 API

在 CI/CD 管道中，您可以整合成果分析功能，儲存部署程序的中繼資料，並根據中繼資料做出決策。

在發布程序的各個階段中，使用者或自動化系統可以新增用於敘述活動結果的中繼資料。舉例來說，您可以將中繼資料新增至映像檔，表示其已通過整合測試套件或安全漏洞掃描。

圖 1. 這張圖表顯示 Container Analysis 是 CI/CD 管道元件，可與來源、建構、儲存空間和部署階段，以及執行階段環境中的中繼資料互動。

安全漏洞掃描可自動執行或隨選執行：

• 啟用自動掃描功能後，每次將新映像檔推送至 Artifact Registry 或 Container Registry 時，系統就會自動觸發掃描作業。發現新漏洞時，漏洞資訊會持續更新。

• 啟用隨選掃描功能後，您必須執行指令，才能掃描本機映像檔或 Artifact Registry 或 Container Registry 中的映像檔。隨選掃描功能可讓您更彈性地決定掃描容器的時間。舉例來說，您可以掃描本機建構的映像檔，並修復安全漏洞，再將映像檔儲存在登錄中。

  掃描完成後，最多可在 48 小時內查看掃描結果，且掃描後不會更新安全漏洞資訊。

將構件分析整合至 CI/CD 管道後，您就能根據中繼資料做出決策。舉例來說，您可以使用二進位授權建立部署政策，只允許部署來自可信任登錄的符合規定的映像檔。

如要瞭解如何使用 Artifact Analysis，請參閱 Artifact Analysis 說明文件。