Artifact Analysis fornisce l'analisi delle vulnerabilità e l'archiviazione dei metadati per i container tramite Artifact Analysis. Il servizio di analisi esegue scansioni delle vulnerabilità sulle immagini in Artifact Registry e Container Registry, quindi archivia i metadati risultanti e li rende disponibili per l'utilizzo tramite un'API. L'archiviazione dei metadati consente di memorizzare informazioni provenienti da diverse origini, tra cui analisi delle vulnerabilità, altri servizi cloud e provider di terze parti.
Artifact Analysis come API di informazioni strategiche
Nel contesto della pipeline CI/CD, l'Artifact Analysis può essere integrata per archiviare i metadati relativi al processo di deployment e prendere decisioni in base a questi metadati.
Nelle varie fasi del processo di rilascio, persone o sistemi automatici possono aggiungere metadati che descrivono il risultato di un'attività. Ad esempio, puoi aggiungere metadati all'immagine per indicare che ha superato un set di test di integrazione o una scansione delle vulnerabilità.
Figura 1. Diagramma che mostra Container Analysis come componente della pipeline CI/CD che interagisce con i metadati nelle fasi di origine, build, archiviazione e deployment nonché negli ambienti di runtime.
L'analisi delle vulnerabilità può essere eseguita automaticamente o on demand:
Quando la scansione automatica è abilitata, la scansione viene attivata automaticamente ogni volta che esegui il push di una nuova immagine su Artifact Registry o Container Registry. Le informazioni sulle vulnerabilità vengono aggiornate continuamente quando vengono scoperte nuove vulnerabilità.
Quando On-Demand Scanning è abilitato, devi eseguire un comando per analizzare un'immagine locale o un'immagine in Artifact Registry o Container Registry. On-Demand Scanning offre maggiore flessibilità per la scansione dei container. Ad esempio, puoi scansionare un'immagine creata localmente e correggere le vulnerabilità prima di archiviarla in un registro.
I risultati della scansione sono disponibili fino a 48 ore dopo il completamento della scansione e le informazioni sulle vulnerabilità non vengono aggiornate dopo la scansione.
Con l'analisi degli artefatti integrata nella pipeline CI/CD, puoi prendere decisioni in base a questi metadati. Ad esempio, puoi utilizzare Autorizzazione binaria per creare criteri di deployment che consentano solo i deployment per le immagini conformi provenienti da registri attendibili.
Per informazioni sull'utilizzo di Artifact Analysis, consulta la documentazione di Artifact Analysis.