O Artifact Analysis oferece dois recursos para verificar seus contêineres: verificação sob demanda e verificação automática. Este documento apresenta os benefícios de cada um. Artifact Analysis também oferece gerenciamento de metadados. Para saber mais sobre como usar a verificação e o armazenamento de metadados juntos para proteger seu pipeline de CI/CD de ponta a ponta, consulte a visão geral da Análise de artefatos.
A verificação automática e sob demanda pode identificar vulnerabilidades no seu sistema operacional e em pacotes de linguagens (Java e Go). No entanto, a verificação automática de pacotes de idiomas está disponível apenas para o Artifact Registry.
Para conferir uma lista de tipos de verificação compatíveis com cada produto de registro, consulte o gráfico de comparação.
Consulte os preços para saber mais sobre os custos associados à verificação de imagens de contêiner.
Verificação sob demanda
Com a verificação sob demanda, é possível verificar imagens de contêiner localmente no computador ou no registro usando a CLI gcloud. Isso oferece a flexibilidade de personalizar seu pipeline de CI/CD, dependendo de quando você precisa acessar os resultados de vulnerabilidade.
Verificação automática
O Artifact Analysis realiza verificações de vulnerabilidades nos seus artefatos no Artifact Registry. O Artifact Analysis também monitora as informações de vulnerabilidade para mantê-las atualizadas. Esse processo inclui duas tarefas principais: verificação por push e análise contínua.
Verificação por push
O Artifact Analysis verifica novas imagens quando elas são enviadas para o Artifact Registry. Essa verificação extrai informações sobre os pacotes do sistema no contêiner. As imagens são verificadas apenas uma vez, com base no resumo da imagem. Isso significa que a adição ou modificação de tags não acionará novas verificações, mudando apenas o conteúdo da imagem.
O Artifact Analysis só detecta pacotes monitorados publicamente quanto a vulnerabilidades de segurança.
Quando a varredura de uma imagem é concluída, o resultado de vulnerabilidade é uma coleção das ocorrências de vulnerabilidade de uma imagem.
Análise contínua
O Artifact Analysis cria ocorrências de vulnerabilidades encontradas quando você faz upload da imagem. Após a verificação inicial, ele monitora continuamente os metadados de imagens verificadas no Artifact Registry para detectar novas vulnerabilidades.
O Artifact Analysis recebe informações de vulnerabilidade novas e atualizadas de origens de vulnerabilidade várias vezes por dia. Quando novos dados de vulnerabilidade chegam, o Artifact Analysis atualiza os metadados das imagens verificadas para mantê-los atualizados. O Artifact Analysis atualiza as ocorrências de vulnerabilidade atuais, cria novas ocorrências de vulnerabilidade para novas notas e exclui ocorrências de vulnerabilidade que não são mais válidas.
Artifact Analysis continua verificando imagens e pacotes desde que eles tenham sido extraídos nos últimos 30 dias. Após 30 dias, os metadados das imagens e pacotes verificados não serão mais atualizados, e os resultados ficarão desatualizados.
O Artifact Analysis arquiva metadados que estão desatualizados há mais de 90 dias. Esses metadados arquivados só podem ser avaliados usando a API. É possível verificar novamente uma imagem com metadados desatualizados ou arquivados extraindo essa imagem. A atualização dos metadados pode levar até 24 horas. Não é possível fazer uma nova verificação de pacotes com metadados desatualizados ou arquivados.
Listas de manifestos
Também é possível usar a verificação de vulnerabilidades com listas de manifestos. Uma lista de manifestos é uma lista de ponteiros para manifestos de várias plataformas. Elas permitem que uma única imagem funcione com várias arquiteturas ou variações de um sistema operacional.
A verificação de vulnerabilidades do Artifact Analysis só é compatível com imagens Linux amd64. Se a lista de manifestos apontar para mais de uma imagem Linux amd64, apenas a primeira será verificada. Se não houver ponteiros para imagens Linux amd64, você não vai receber nenhum resultado de verificação.