Artifact Analysis offre due funzionalità per l'analisi dei container: l'analisi on demand e l'analisi automatica. Questo documento illustra i vantaggi di ciascuna. Artifact Analysis fornisce anche la gestione dei metadati. Per scoprire di più su come utilizzare insieme la scansione e l'archiviazione dei metadati per proteggere la pipeline CI/CD end-to-end, consulta la panoramica dell'analisi degli artefatti.
L'analisi automatica e on demand può identificare le vulnerabilità nel sistema operativo e nei pacchetti di linguaggi (Java e Go). Tuttavia, la scansione automatica dei pacchetti di lingua è disponibile solo per Artifact Registry.
Per un elenco dei tipi di scansione supportati per ogni prodotto di registro, consulta la tabella comparativa.
Consulta la sezione Prezzi per scoprire di più sui costi associati alla scansione delle immagini container.
Scansione on demand
L'analisi on demand ti consente di analizzare le immagini container localmente sul computer o nel registro, utilizzando gcloud CLI. In questo modo hai la flessibilità di personalizzare la pipeline CI/CD, a seconda di quando devi accedere ai risultati delle vulnerabilità.
Scansione automatica
Artifact Analysis esegue scansioni delle vulnerabilità sugli artefatti in Artifact Registry. Artifact Analysis monitora anche le informazioni sulle vulnerabilità per mantenerle aggiornate. Questo processo comprende due attività principali: la scansione push e l'analisi continua.
Scansione on-push
Artifact Analysis esegue la scansione delle nuove immagini quando vengono caricate in Artifact Registry. Questa scansione estrae informazioni sui pacchetti di sistema nel contenitore. Le immagini vengono scansionate una sola volta, in base al digest dell'immagine. Ciò significa che l'aggiunta o la modifica dei tag non attiverà nuove scansioni, ma solo la modifica dei contenuti dell'immagine.
Artifact Analysis rileva solo i pacchetti monitorati pubblicamente per vulnerabilità di sicurezza.
Al termine della scansione di un'immagine, il risultato della vulnerabilità prodotto è la raccolta delle occorrenze di vulnerabilità per quell'immagine.
Analisi continua
Artifact Analysis crea occorrenze per le vulnerabilità trovate quando carichi l'immagine. Dopo la scansione iniziale, monitora continuamente i metadati delle immagini analizzate in Artifact Registry per rilevare nuove vulnerabilità.
Artifact Analysis riceve informazioni sulle vulnerabilità nuove e aggiornate da origini di vulnerabilità più volte al giorno. Quando arrivano nuovi dati sulle vulnerabilità, Artifact Analysis aggiorna i metadati delle immagini scansionate per mantenerli aggiornati. Artifact Analysis aggiorna le occorrenze di vulnerabilità esistenti, crea nuove occorrenze di vulnerabilità per le nuove note ed elimina le occorrenze di vulnerabilità non più valide.
Artifact Analysis continua a eseguire la scansione di immagini e pacchetti purché siano stati estratti negli ultimi 30 giorni. Dopo 30 giorni, i metadati delle immagini e dei pacchetti scansionati non verranno più aggiornati e i risultati saranno obsoleti.
Artifact Analysis archivia i metadati che sono rimasti inattivi per più di 90 giorni. Questi metadati archiviati possono essere valutati solo utilizzando l'API. Puoi eseguire di nuovo la scansione di un'immagine con metadati obsoleti o archiviati eseguendo il pull dell'immagine. L'aggiornamento dei metadati può richiedere fino a 24 ore. I pacchetti con metadati obsoleti o archiviati non possono essere analizzati di nuovo.
Elenchi di manifest
Puoi anche utilizzare analisi delle vulnerabilità con gli elenchi manifest. Un elenco di manifest è un elenco di puntatori ai manifest per diverse piattaforme. Consentono a una singola immagine di funzionare con più architetture o varianti di un sistema operativo.
L'analisi delle vulnerabilità di Artifact Analysis supporta solo le immagini Linux amd64. Se l'elenco dei manifest punta a più di un'immagine Linux amd64, verrà analizzata solo la prima; se non sono presenti puntatori a immagini Linux amd64, non otterrai alcun risultato di analisi.