Artifact Analysis 提供容器的安全漏洞掃描和中繼資料儲存空間。掃描服務會對 Artifact Registry 和 Container Registry 中的映像檔執行安全漏洞掃描,然後儲存產生的中繼資料,並透過 API 提供這些資料。中繼資料儲存空間可儲存來自不同來源的資訊,包括安全漏洞掃描、其他 Cloud 服務和第三方供應商。
Artifact Analysis 做為策略性資訊 API
在 CI/CD 管道中,您可以整合 Artifact Analysis,儲存部署程序的中繼資料,並根據該中繼資料做出決策。
在發布程序的各個階段中,使用者或自動化系統可以新增用於敘述活動結果的中繼資料。舉例來說,您可以將中繼資料新增至映像檔,表示其已通過整合測試套件或安全漏洞掃描。
圖 1. 這張圖表顯示 Container Analysis 是 CI/CD 管道元件,可與來源、建構、儲存空間和部署階段,以及執行階段環境中的中繼資料互動。
安全漏洞掃描可以自動執行或隨選執行:
啟用自動掃描後,每當您將新映像檔推送至 Artifact Registry 或 Container Registry,系統就會自動觸發掃描。發現新的安全漏洞時,系統會持續更新安全漏洞資訊。
啟用隨選掃描後,您必須執行指令,掃描本機映像檔或 Artifact Registry/Container Registry 中的映像檔。隨選掃描功能可讓您更彈性地選擇掃描容器的時間。舉例來說,您可以掃描本機建構的映像檔,並在將其儲存在登錄檔之前,修復安全漏洞。
掃描結果最多會在掃描完成後保留 48 小時,且掃描後不會更新安全漏洞資訊。
將構件分析功能整合至 CI/CD 管道後,您就能根據中繼資料做出決策。舉例來說,您可以使用二進位授權建立部署政策,只允許從可信任的登錄檔部署符合規範的映像檔。
如要瞭解如何使用 Artifact Analysis,請參閱 Artifact Analysis 說明文件。