Artifact Analysis 提供两种容器扫描功能:按需扫描和自动扫描。本文档将介绍每种方法的优势。Artifact Analysis 还提供元数据管理功能。如需详细了解如何结合使用扫描和元数据存储来全面保护 CI/CD 流水线,请参阅制品分析概览。
通过按需扫描和自动扫描,您可以识别操作系统和语言包(Java 和 Go)中的漏洞。不过,自动语言包扫描仅适用于 Artifact Registry。
如需查看每种注册产品支持的扫描类型列表,请参阅比较图表。
如需详细了解与扫描容器映像相关的费用,请参阅价格。
按需扫描
借助按需扫描功能,您可以使用 gcloud CLI 在本地计算机上或注册表中扫描容器映像。这样一来,您就可以灵活地自定义 CI/CD 流水线,具体取决于您何时需要访问漏洞结果。
自动扫描
Artifact Analysis 会对 Artifact Registry 中的制品执行漏洞扫描。Artifact Analysis 还会监控漏洞信息,以使其保持最新。此过程包括两个主要任务:推送时扫描和持续分析。
推送扫描
Artifact Analysis 会在新映像上传到 Artifact Registry 时扫描这些映像。此扫描可提取有关容器中系统软件包的信息。系统只会根据映像的摘要扫描映像一次。这意味着,添加或修改标记不会触发新的扫描,只会更改映像的内容。
Artifact Analysis 只会检测公开监控的软件包是否存在安全漏洞。
完成映像扫描后,生成的漏洞结果是该映像的漏洞发生实例的集合。
持续分析
Artifact Analysis 会为在您上传映像时发现的漏洞创建漏洞发生实例。初始扫描后,它会持续监控 Artifact Registry 中已扫描映像的元数据,以发现新漏洞。
Artifact Analysis 每天会多次从漏洞来源接收新的和更新后的漏洞信息。当有新的漏洞数据到达时,Artifact Analysis 会更新已扫描映像的元数据,使其保持最新状态。Artifact Analysis 会更新现有的漏洞发生实例,为新备注创建新的漏洞发生实例,并删除不再有效的漏洞发生实例。
只要映像和软件包是在过去 30 天内拉取的,Artifact Analysis 就会继续扫描它们。30 天后,扫描的映像和软件包的元数据将不再更新,并且结果将过时。
Artifact Analysis 会归档过时超过 90 天的元数据。只有使用 API 才能评估此归档的元数据。 您可以拉取包含过时或归档元数据的映像,以重新扫描该映像。 刷新元数据最多可能需要 24 小时。无法重新扫描具有过时或已归档元数据的软件包。
清单列表
您还可以将漏洞扫描与清单列表搭配使用。清单列表是指向多个平台清单的指针列表。它们可让单个映像与多种架构或操作系统变体搭配使用。
Artifact Analysis 漏洞扫描仅支持 Linux amd64 映像。如果清单列表指向多个 Linux amd64 映像,则只会扫描第一个映像;如果没有指向 Linux amd64 映像的指针,您将不会获得任何扫描结果。