Artifact Analysis ofrece dos funciones para analizar tus contenedores: análisis bajo demanda y análisis automático. En este documento se explican las ventajas de cada uno de ellos. Artifact Analysis también ofrece gestión de metadatos. Para obtener más información sobre cómo puedes usar el análisis y el almacenamiento de metadatos conjuntamente para proteger tu canalización de CI/CD de principio a fin, consulta la descripción general de Artifact Analysis.
El análisis automático y bajo demanda puede identificar vulnerabilidades en tu sistema operativo y en paquetes de idiomas (Java y Go). Sin embargo, el análisis automático de paquetes de idiomas solo está disponible en Artifact Registry.
Para ver una lista de los tipos de análisis admitidos en cada producto de registro, consulta la tabla comparativa.
Consulta los precios para obtener más información sobre los costes asociados al análisis de imágenes de contenedor.
Análisis bajo demanda
El análisis bajo demanda te permite analizar imágenes de contenedor de forma local en tu ordenador o en tu registro mediante la CLI de gcloud. De esta forma, puedes personalizar tu canalización de CI/CD en función de cuándo necesites acceder a los resultados de las vulnerabilidades.
Búsqueda automática
Artifact Analysis realiza análisis de vulnerabilidades en tus artefactos de Artifact Registry. Artifact Analysis también monitoriza la información sobre vulnerabilidades para mantenerla actualizada. Este proceso consta de dos tareas principales: el análisis al enviar y el análisis continuo.
Análisis push
Artifact Analysis analiza las imágenes nuevas cuando se suben a Artifact Registry. Este análisis extrae información sobre los paquetes del sistema en el contenedor. Las imágenes se analizan solo una vez, en función del digest de la imagen. Esto significa que añadir o modificar etiquetas no activará nuevos análisis, solo lo hará cambiar el contenido de la imagen.
Análisis de artefactos solo detecta paquetes monitorizados públicamente para vulnerabilidades de seguridad.
Cuando se completa el análisis de una imagen, el resultado de vulnerabilidad que se genera es la colección de las incidencias de vulnerabilidad de esa imagen.
Análisis continuo
Artifact Analysis crea ocurrencias de las vulnerabilidades que se encuentran al subir la imagen. Después del análisis inicial, monitoriza continuamente los metadatos de las imágenes analizadas en Artifact Registry para detectar nuevas vulnerabilidades.
Análisis de artefactos recibe información nueva y actualizada sobre vulnerabilidades de fuentes de vulnerabilidades varias veces al día. Cuando llegan nuevos datos de vulnerabilidades, Artifact Analysis actualiza los metadatos de las imágenes analizadas para que estén al día. Análisis de artefactos actualiza las incidencias de vulnerabilidades, crea incidencias de vulnerabilidades para las notas nuevas y elimina las incidencias de vulnerabilidades que ya no son válidas.
El análisis de artefactos sigue analizando imágenes y paquetes siempre que se hayan extraído en los últimos 30 días. Transcurridos 30 días, los metadatos de las imágenes y los paquetes analizados dejarán de actualizarse y los resultados estarán obsoletos.
Análisis de artefactos archiva los metadatos que no se han actualizado en más de 90 días. Estos metadatos archivados solo se pueden evaluar mediante la API. Puedes volver a escanear una imagen con metadatos obsoletos o archivados extrayendo esa imagen. La actualización de los metadatos puede tardar hasta 24 horas. Los paquetes con metadatos obsoletos o archivados no se pueden volver a analizar.
Listas de manifiestos
También puedes usar el análisis de vulnerabilidades con listas de manifiestos. Una lista de manifiestos es una lista de punteros a manifiestos de varias plataformas. Permiten que una sola imagen funcione con varias arquitecturas o variaciones de un sistema operativo.
El análisis de vulnerabilidades de Artifact Analysis solo admite imágenes Linux amd64. Si su lista de manifiestos apunta a más de una imagen de Linux amd64, solo se analizará la primera. Si no hay punteros a imágenes de Linux amd64, no obtendrá ningún resultado del análisis.