Artifact Analysis는 컨테이너를 스캔하기 위한 두 가지 기능(주문형 스캔 및 자동 스캔)을 제공합니다. 이 문서에서는 각 기능의 이점을 소개합니다. Artifact Analysis는 메타데이터 관리도 제공합니다. 스캔과 메타데이터 스토리지를 함께 사용하여 CI/CD 파이프라인을 엔드 투 엔드로 보호하는 방법을 자세히 알아보려면 Artifact Analysis 개요를 참고하세요.
주문형 스캔과 자동 스캔을 사용하면 운영체제 및 언어 패키지 (Java, Go)의 취약점을 식별할 수 있습니다. 하지만 자동 언어 패키지 스캔은 Artifact Registry에서만 사용할 수 있습니다.
각 레지스트리 제품에 지원되는 검사 유형 목록은 비교 차트를 참고하세요.
컨테이너 이미지 스캔과 관련된 비용에 대해 자세히 알아보려면 가격 책정을 참고하세요.
주문형 스캔
요청 시 스캔을 사용하면 gcloud CLI를 사용하여 컴퓨터 또는 레지스트리에서 컨테이너 이미지를 로컬로 스캔할 수 있습니다. 이렇게 하면 취약점 결과에 액세스해야 하는 시점에 따라 CI/CD 파이프라인을 유연하게 맞춤설정할 수 있습니다.
자동 스캔
Artifact Analysis는 Artifact Registry의 아티팩트에 대한 취약점 스캔을 실행합니다. Artifact Analysis는 취약점 정보를 모니터링하여 최신 상태로 유지합니다. 이 프로세스는 푸시 시 스캔과 지속적 분석이라는 두 가지 주요 작업으로 구성됩니다.
푸시 시 스캔
Artifact Analysis는 새로운 이미지가 Artifact Registry에 업로드될 때 이를 스캔합니다. 이 스캔은 컨테이너의 시스템 패키지에 대한 정보를 추출합니다. 이미지는 이미지 다이제스트를 기반으로 한 번만 스캔됩니다. 즉, 태그를 추가하거나 수정하면 새 스캔이 트리거되지 않으며 이미지의 콘텐츠만 변경됩니다.
Artifact Analysis는 보안 취약점에서 공개적으로 모니터링되는 패키지만 감지합니다.
이미지 스캔이 완료된 후 생성된 취약점 결과는 해당 이미지에 대한 취약점 어커런스의 모음입니다.
지속적 분석
Artifact Analysis는 이미지 업로드 시 발견된 취약점에 대한 어커런스를 만듭니다. 초기 스캔 후 Artifact Registry에서 스캔한 이미지의 메타데이터를 지속적으로 모니터링하여 새로운 취약점이 있는지 확인합니다.
Artifact Analysis는 취약점 소스에서 새로운 업데이트된 취약점 정보를 매일 여러 번 수신합니다. 새로운 취약점 데이터가 도착하면 Artifact Analysis는 스캔한 이미지의 메타데이터를 업데이트하여 최신 상태로 유지합니다. Artifact Analysis는 기존 취약점 어커런스를 업데이트하고, 새 메모에 대한 새 취약점 어커런스를 만들고, 더 이상 유효하지 않은 취약점 어커런스를 삭제합니다.
Artifact Analysis는 지난 30일 이내에 가져온 이미지와 패키지를 계속 스캔합니다. 30일이 지나면 스캔된 이미지와 패키지의 메타데이터가 더 이상 업데이트되지 않으며 결과가 오래됩니다.
Artifact Analysis는 90일 넘게 비활성 상태인 메타데이터를 보관처리합니다. 보관된 이 메타데이터는 API를 사용해야만 평가할 수 있습니다. 오래된 메타데이터 또는 보관처리된 메타데이터가 있는 이미지를 가져와 다시 스캔할 수 있습니다. 메타데이터를 새로고침하는 데 최대 24시간이 걸릴 수 있습니다. 오래되었거나 보관처리된 메타데이터가 있는 패키지는 다시 스캔할 수 없습니다.
매니페스트 목록
매니페스트 목록으로 취약점 검사를 사용할 수도 있습니다. 매니페스트 목록은 여러 플랫폼의 매니페스트에 대한 포인터 목록입니다. 이를 통해 단일 이미지가 여러 아키텍처 또는 운영체제 변형과 함께 작동할 수 있습니다.
Artifact Analysis 취약점 스캔은 Linux amd64 이미지만 지원합니다. 매니페스트 목록이 두 개 이상의 Linux amd64 이미지를 가리키는 경우 첫 번째 이미지만 검사됩니다. Linux amd64 이미지에 대한 포인터가 없으면 검사 결과가 표시되지 않습니다.