סוגי סריקות

ב-Artifact Analysis יש שתי תכונות לסריקת הקונטיינרים: סריקה לפי דרישה וסריקה אוטומטית. במאמר הזה אנחנו מסבירים למה כדאי להשתמש בכל אחת מהשיטות. בנוסף, Artifact Analysis מספקת ניהול של מטא-נתונים. מידע נוסף על השימוש בסריקה ובאחסון מטא-נתונים יחד כדי לאבטח את פייפליין ה-CI/CD מקצה לקצה זמין במאמר סקירה כללית על Artifact Analysis.

סריקות לפי דרישה וסריקות אוטומטיות יכולות לזהות נקודות חולשה במערכת ההפעלה ובחבילות שפה (Java ו-Go). עם זאת, סריקה אוטומטית של חבילות שפה זמינה רק ב-Artifact Registry.

רשימה של סוגי הסריקות הנתמכים בכל מוצר רישום זמינה בתרשים ההשוואה.

בקטע תמחור מוסבר על העלויות שקשורות לסריקת תמונות של קונטיינרים.

סריקה לפי דרישה

סריקה לפי דרישה מאפשרת לסרוק קובצי אימג' של קונטיינרים באופן מקומי במחשב או במאגר, באמצעות ה-CLI של gcloud. כך תוכלו להתאים אישית את פייפליין של CI/CD, בהתאם למועד שבו תצטרכו לגשת לתוצאות של נקודת החולשה.

סריקה אוטומטית

הכלי Artifact Analysis מבצע סריקות לאיתור נקודות חולשה בארטיפקטים ב-Artifact Registry. בנוסף, Artifact Analysis עוקב אחרי נתוני נקודות חולשה כדי לשמור על עדכניות הנתונים. התהליך הזה כולל שתי משימות עיקריות: סריקה בזמן שליחת קוד (push) וניתוח רציף.

סריקה בהעברה

הכלי Artifact Analysis סורק תמונות חדשות כשהן מועלות אל Artifact Registry. בסריקה הזו מופק מידע על חבילות המערכת במאגר. התמונות נסרקות רק פעם אחת, על סמך הגיבוב של התמונה. המשמעות היא שהוספה או שינוי של תגים לא יפעילו סריקות חדשות, אלא רק שינוי התוכן של התמונה.

הכלי Artifact Analysis מזהה רק חבילות שנמצאות במעקב ציבורי לצורך זיהוי פגיעויות אבטחה.

כשסריקת תמונה מסתיימת, תוצאת הפגיעות שמתקבלת היא אוסף של מקרים של פגיעות בתמונה.

ניתוח מתמשך

ניתוח ארטיפקטים יוצר מופעים של פגיעויות שנמצאו כשמעלים את התמונה. אחרי הסריקה הראשונית, המערכת עוקבת באופן רציף אחרי המטא-נתונים של תמונות שנסרקו ב-Artifact Registry כדי לאתר נקודות חולשה חדשות.

הכלי Artifact Analysis מקבל מידע חדש ומעודכן על נקודות חולשה ממקורות פגיעות כמה פעמים ביום. כשמתקבלים נתונים חדשים על נקודות חולשה, Artifact Analysis מעדכן את המטא-נתונים של התמונות שנסרקו כדי לשמור על עדכניות הנתונים. הכלי Artifact Analysis מעדכן מקרים קיימים של פגיעויות, יוצר מקרים חדשים של פגיעויות עבור הערות חדשות ומוחק מקרים של פגיעויות שכבר לא תקפים.

Artifact Analysis ממשיך לסרוק תמונות וחבילות כל עוד הן נמשכו ב-30 הימים האחרונים. אחרי 30 יום, המטא-נתונים של תמונות וחבילות שנסרקו לא יתעדכנו יותר, והתוצאות יהיו ישנות.

בניתוח ארטיפקטים, מטא-נתונים שלא עודכנו במשך יותר מ-90 יום נשמרים בארכיון. אפשר להעריך את המטא-נתונים האלה בארכיון רק באמצעות ה-API. כדי לסרוק מחדש תמונה עם מטא-נתונים לא עדכניים או מטא-נתונים שהועברו לארכיון, צריך לשלוף את התמונה. רענון המטא-נתונים יכול להימשך עד 24 שעות. אי אפשר לסרוק מחדש חבילות עם מטא-נתונים לא עדכניים או כאלה שהועברו לארכיון.

ארכיטקטורות

הכלי Artifact Analysis יכול לסרוק תמונות בכל ארכיטקטורה מבוססת-Linux.

אפשר גם להשתמש בסריקת פגיעויות עם רשימות מניפסט. רשימת מניפסטים היא רשימה של מצביעים למניפסטים של כמה פלטפורמות. הם מאפשרים להשתמש בתמונה אחת בכמה ארכיטקטורות או גרסאות של מערכת הפעלה.

אם רשימת המניפסט מכילה תמונה של Linux amd64, הכלי Artifact Analysis יסרוק את התמונה הזו. אחרת, הכלי Artifact Analysis בוחר תמונה אחרת מהרשימה.

המאמרים הבאים