Artifact Analysis proporciona dos funciones para analizar tus contenedores: análisis a pedido y análisis automático. En este documento, se presentan los beneficios de cada uno. Artifact Analysis también proporciona administración de metadatos. Para obtener más información sobre cómo puedes usar el análisis y el almacenamiento de metadatos juntos para proteger tu canalización de CI/CD de extremo a extremo, consulta la descripción general de Artifact Analysis.
El análisis automático y a pedido puede identificar vulnerabilidades en tu sistema operativo y en los paquetes de lenguajes (Java y Go). Sin embargo, el análisis automático de paquetes de idiomas solo está disponible para Artifact Registry.
Para obtener una lista de los tipos de análisis admitidos para cada producto del registro, consulta el cuadro comparativo.
Consulta los precios para obtener más información sobre los costos asociados con el análisis de imágenes de contenedores.
On-Demand Scanning
El análisis a pedido te permite analizar imágenes de contenedor de forma local en tu computadora o en tu registro con gcloud CLI. Esto te brinda la flexibilidad para personalizar tu canalización de CI/CD, según cuándo necesites acceder a los resultados de vulnerabilidades.
Búsqueda automática
Artifact Analysis realiza análisis de vulnerabilidades en tus artefactos en Artifact Registry. Artifact Analysis también supervisa la información sobre las vulnerabilidades para mantenerla actualizada. Este proceso comprende dos tareas principales: el análisis durante la inserción y el análisis continuo.
Análisis durante la transferencia
Artifact Analysis analiza las imágenes nuevas cuando se suben a Artifact Registry. Este análisis extrae información sobre los paquetes del sistema en el contenedor. Las imágenes se analizan solo una vez, según su resumen. Esto significa que agregar o modificar etiquetas no activará análisis nuevos, solo cambiar el contenido de la imagen.
Artifact Analysis solo detecta paquetes supervisados de forma pública para detectar vulnerabilidades de seguridad.
Cuando se completa el análisis de una imagen, el resultado de vulnerabilidad producido es el conjunto de casos de vulnerabilidades para esa imagen.
Análisis continuo
Artifact Analysis crea casos para las vulnerabilidades que se encuentran cuando subes la imagen. Después del análisis inicial, supervisa continuamente los metadatos de las imágenes analizadas en Artifact Registry para detectar vulnerabilidades nuevas.
Artifact Analysis recibe información nueva y actualizada sobre vulnerabilidades de las fuentes de vulnerabilidades varias veces al día. Cuando llegan datos de vulnerabilidades nuevos, Artifact Analysis actualiza los metadatos de las imágenes analizadas para mantenerlos actualizados. Artifact Analysis actualiza los casos de vulnerabilidades existentes, crea casos de vulnerabilidades nuevos para las notas nuevas y borra los casos de vulnerabilidades que ya no son válidos.
Artifact Analysis sigue analizando imágenes y paquetes siempre que se hayan extraído en los últimos 30 días. Después de 30 días, ya no se actualizarán los metadatos de las imágenes y los paquetes analizados, y los resultados estarán inactivos.
Artifact Analysis archiva los metadatos que han estado inactivos durante más de 90 días. Estos metadatos archivados solo se pueden evaluar con la API. Para volver a analizar una imagen con metadatos inactivos o archivados, extráela. La actualización de los metadatos puede tardar hasta 24 horas. No se pueden volver a analizar los paquetes con metadatos obsoletos o archivados.
Listas de manifiestos
También puedes usar el análisis de vulnerabilidades con listas de manifiestos. Una lista de manifiestos es una lista de punteros a manifiestos para varias plataformas. Permiten que una sola imagen funcione con varias arquitecturas o variaciones de un sistema operativo.
El análisis de vulnerabilidades de Artifact Analysis solo admite imágenes amd64 de Linux. Si tu lista de manifiesto apunta a más de una imagen de Linux amd64, solo se analizará la primera. Si no hay punteros a imágenes de Linux amd64, no obtendrás ningún resultado del análisis.