Artifact Analysis 提供兩種容器掃描功能:隨選掃描和自動掃描。本文將介紹各項功能的優點。此外,Artifact Analysis 也提供中繼資料管理功能。如要進一步瞭解如何搭配使用掃描和中繼資料儲存功能,從頭到尾保護 CI/CD 管道,請參閱 Artifact Analysis 總覽。
透過隨選和自動掃描,找出作業系統和語言套件 (Java 和 Go) 的安全漏洞。不過,自動掃描語言套件的功能僅適用於 Artifact Registry。
如需各項登錄產品支援的掃描類型清單,請參閱比較圖表。
如要進一步瞭解掃描容器映像檔的相關費用,請參閱定價。
隨選掃描
您可以透過 gcloud CLI,在本機電腦或登錄檔中掃描容器映像檔。您可以根據需要存取安全漏洞結果的時間,彈性自訂 CI/CD 管道。
自動掃描
Artifact Analysis 會對 Artifact Registry 中的構件執行安全漏洞掃描。Artifact Analysis 也會監控安全漏洞資訊,確保資訊維持在最新狀態。這個程序包含兩項主要工作:推送時掃描和持續分析。
推送掃描
將新的映像檔上傳至 Artifact Registry 時,Artifact Analysis 會掃描這些映像檔。這項掃描會擷取容器中系統套件的相關資訊。系統只會根據圖片摘要掃描圖片一次,也就是說,新增或修改標記不會觸發新的掃描作業,只有變更圖片內容才會。
Artifact Analysis 只會偵測公開監控的套件,以找出安全漏洞。
完成映像檔的掃描時,產生的安全漏洞結果是該映像檔的安全漏洞例項集合。
持續分析
上傳映像檔時,Artifact Analysis 會針對發現的安全漏洞建立例項。完成初始掃描後,這項功能會持續監控 Artifact Registry 中已掃描映像檔的中繼資料,找出新的安全漏洞。
Artifact Analysis 每天會多次收到來自安全漏洞來源的全新和更新安全漏洞資訊。當有新的安全漏洞資料時,Artifact Analysis 會更新已掃描映像檔的中繼資料,確保資料維持在最新狀態。Artifact Analysis 會更新現有的安全漏洞例項、為新註記建立新的安全漏洞例項,並刪除不再有效的安全漏洞例項。
只要映像檔和套件在過去 30 天內曾遭提取,Artifact Analysis 就會持續掃描。30 天後,系統將停止更新掃描過的映像檔和套件中繼資料,結果也會過時。
Artifact Analysis 會封存過時逾 90 天的中繼資料。您只能使用 API 評估這類封存的中繼資料。 如要重新掃描中繼資料已過時或已封存的映像檔,請提取該映像檔。 中繼資料重新整理作業最多可能需要 24 小時才能完成。如果套件的後設資料過時或已封存,就無法重新掃描。
資訊清單表
您也可以使用資訊清單清單進行安全漏洞掃描。資訊清單表是指向多個平台資訊清單的指標清單。讓單一映像檔可搭配多種架構或作業系統變體使用。
Artifact Analysis 安全漏洞掃描功能僅支援 Linux amd64 映像檔。如果資訊清單指向多個 Linux amd64 映像檔,系統只會掃描第一個映像檔;如果沒有指向 Linux amd64 映像檔,系統就不會提供任何掃描結果。