Artifact Analysis es una familia de servicios que proporciona análisis de composición de software, almacenamiento y recuperación de metadatos. Sus puntos de detección se incorporan en varios Google Cloud productos, como Artifact Registry y Google Kubernetes Engine (GKE), para una habilitación rápida. El servicio funciona con ambos Google Cloud's productos de origen y también te permite almacenar información de fuentes externas. Los servicios de análisis aprovechan un almacén común de vulnerabilidades para establecer correspondencias entre los archivos con las vulnerabilidades conocidas.
Anteriormente, este servicio se conocía como Container Analysis. El nuevo nombre no cambia los productos ni las APIs existentes, pero refleja la gama de funciones en expansión del producto más allá de los contenedores.
Figura 1. Diagrama que muestra Artifact Analysis creando e interactuando con metadatos en entornos de origen, compilación, almacenamiento, implementación y ejecución.
Análisis del registro
En esta sección, se describen las funciones de análisis de vulnerabilidades de Artifact Analysis basadas en Artifact Registry y se enumeran los productos relacionados Google Cloud en los que puedes habilitar capacidades complementarias para respaldar tu postura de seguridad.
Análisis automático en Artifact Registry
- El proceso de análisis se activa automáticamente cada vez que envías una nueva imagen a Artifact Registry. La información sobre vulnerabilidades se actualiza continuamente cuando se descubren nuevas vulnerabilidades. Artifact Registry incluye el análisis de paquetes de lenguajes de aplicaciones. Para comenzar, habilita el análisis automático.
Administración de riesgos centralizada con Security Command Center
- Security Command Center centraliza tu seguridad en la nube y ofrece análisis de vulnerabilidades, detección de amenazas, supervisión de la postura y administración de datos. Security Command Center agrega los resultados de vulnerabilidades de los análisis de Artifact Registry, lo que te permite ver las vulnerabilidades de las imágenes de contenedor dentro de tus cargas de trabajo en ejecución, en todos los proyectos junto con tus otros riesgos de seguridad en Security Command Center. También puedes exportar estos resultados a BigQuery para realizar análisis detallados y almacenamiento a largo plazo. Para obtener más información, consulta Evaluación de vulnerabilidades de Artifact Registry.
Análisis de vulnerabilidades de las cargas de trabajo de GKE: nivel estándar
- Como parte del panel de postura de seguridad de GKE, el análisis de vulnerabilidades de las cargas de trabajo proporciona la detección de vulnerabilidades del SO de la imagen de contenedor. El análisis es gratuito y se puede habilitar por clúster. Los resultados están disponibles para su visualización en el panel de postura de seguridad.
Análisis de vulnerabilidades de las cargas de trabajo de GKE: Estadísticas avanzadas de vulnerabilidades
- Además del análisis básico del SO del contenedor, los usuarios de GKE pueden actualizar a estadísticas avanzadas de vulnerabilidades para aprovechar la detección continua de vulnerabilidades de paquetes de lenguajes. Debes habilitar esta función de forma manual en tus clústeres, después de lo cual recibirás resultados de vulnerabilidades del SO y del paquete de lenguajes. Obtén más información sobre el análisis de vulnerabilidades en las cargas de trabajo de GKE.
On-Demand Scanning
- Este servicio no es continuo; debes ejecutar un comando para iniciar el análisis de forma manual. Los resultados del análisis están disponibles hasta 48 horas después de que se complete el análisis. La información sobre vulnerabilidades no se actualiza después de que finaliza el análisis. Puedes analizar imágenes almacenadas de forma local sin tener que enviarlas primero a Artifact Registry ni a los entornos de ejecución de GKE. Para obtener más información, consulta On-Demand Scanning.
Accede a los metadatos
Artifact Analysis es un Google Cloud componente de infraestructura que te permite almacenar y recuperar metadatos estructurados para Google Cloud los recursos. En varias fases del proceso de lanzamiento, las personas o los sistemas automatizados pueden agregar metadatos que describen el resultado de una actividad. Por ejemplo, puedes agregar metadatos a tu imagen para indicar que aprobó un conjunto de pruebas de integración o un análisis de vulnerabilidades.
Con Artifact Analysis integrado en tu canalización de CI/CD, puedes tomar decisiones basadas en metadatos. Por ejemplo, puedes usar la autorización binaria para crear políticas de implementación que solo permitan implementaciones para imágenes compatibles de registros de confianza.
Artifact Analysis asocia los metadatos a imágenes a través de notas y casos. Para obtener más información sobre estos conceptos, consulta la página de administración de metadatos.
¿Qué sigue?
- Comienza a usar el análisis automático.
- Comienza a usar On-Demand Scanning.
- Obtén más información sobre los conceptos de análisis.
- Obtén más información sobre los tipos de metadatos compatibles.