컨테이너 스캔 개요

Artifact Analysis는 자동 스캔과 주문형 스캔의 두 가지 방법으로 이미지를 스캔할 수 있습니다. 이 문서에서는 두 가지 유형의 스캔에 대한 기능 세부정보를 설명합니다.

Artifact Analysis는 메타데이터 관리도 제공합니다. 스캔과 메타데이터 스토리지를 함께 사용하여 CI/CD 파이프라인을 엔드 투 엔드로 보호하는 방법을 자세히 알아보려면 Artifact Analysis 개요를 참고하세요.

컨테이너 이미지 스캔과 관련된 비용에 대해 자세히 알아보려면 가격 책정을 참고하세요.

이 개요에서는 사용자가 이미 Artifact Registry에서 Docker 저장소를 사용하는 데 익숙하다고 가정합니다.

자동 스캔

Artifact Analysis는 Artifact Registry의 아티팩트에 대한 취약점 스캔을 실행합니다. 또한 Artifact Analysis는 종속 항목과 라이선스를 식별하여 소프트웨어 구성을 파악하는 데 도움을 줍니다.

자동 스캔은 푸시 시 스캔과 지속적 분석이라는 두 가지 주요 작업으로 구성됩니다.

푸시 시 스캔

Artifact Analysis는 새로운 이미지가 Artifact Registry에 업로드될 때 이를 스캔합니다. 이 스캔은 컨테이너의 패키지에 대한 정보를 추출합니다. 이미지는 이미지 다이제스트를 기반으로 한 번만 스캔됩니다. 즉, 태그를 추가하거나 수정해도 새 스캔이 트리거되지 않습니다.

Artifact Analysis는 보안 취약점에서 공개적으로 모니터링되는 패키지의 취약점만 감지합니다.

이미지 스캔이 완료된 후 생성된 취약점 결과는 해당 이미지에 대한 취약점 어커런스의 모음입니다.

지속적 분석

Artifact Analysis는 이미지 업로드 시 발견된 취약점에 대한 어커런스를 만듭니다. 초기 스캔 후 Artifact Registry에서 스캔한 이미지의 메타데이터를 지속적으로 모니터링하여 새로운 취약점이 있는지 확인합니다.

Artifact Analysis는 취약점 소스에서 새로운 업데이트된 취약점 정보를 매일 여러 번 수신합니다. 새로운 취약점 데이터가 도착하면 Artifact Analysis는 스캔한 이미지의 메타데이터를 업데이트하여 최신 상태로 유지합니다. Artifact Analysis는 기존 취약점 어커런스를 업데이트하고, 새 메모에 대한 새 취약점 어커런스를 만들고, 더 이상 유효하지 않은 취약점 어커런스를 삭제합니다.

Artifact Analysis는 지난 30일 동안 푸시되거나 가져온 이미지의 메타데이터만 업데이트합니다. 30일이 지나면 메타데이터가 더 이상 업데이트되지 않으며 결과가 오래됩니다. 또한 Artifact Analysis는 90일 넘게 비활성 상태인 메타데이터를 보관처리하며, 이 메타데이터는 Google Cloud 콘솔, gcloud 또는 API를 사용하여 사용할 수 없습니다. 오래되었거나 보관처리된 메타데이터가 있는 이미지를 다시 스캔하려면 해당 이미지를 가져오세요. 메타데이터를 새로고침하는 데 최대 24시간이 걸릴 수 있습니다.

매니페스트 목록

매니페스트 목록으로 취약점 검사를 사용할 수도 있습니다. 매니페스트 목록은 여러 플랫폼의 매니페스트에 대한 포인터 목록입니다. 이를 통해 단일 이미지가 여러 아키텍처 또는 운영체제 변형과 함께 작동할 수 있습니다.

Artifact Analysis 취약점 스캔은 Linux amd64 이미지만 지원합니다. 매니페스트 목록이 두 개 이상의 Linux amd64 이미지를 가리키는 경우 첫 번째 이미지만 검사됩니다. Linux amd64 이미지를 가리키는 포인터가 없으면 검사 결과가 표시되지 않습니다.

주문형 스캔

온디맨드 스캔을 사용하면 gcloud CLI를 사용하여 컴퓨터 또는 레지스트리에서 컨테이너 이미지를 로컬로 스캔할 수 있습니다. 이를 통해 취약점 결과에 액세스해야 하는 시점에 따라 CI/CD 파이프라인을 유연하게 맞춤설정할 수 있습니다.

지원되는 패키지 유형

컨테이너 이미지를 Artifact Registry의 Docker 저장소로 푸시하면 Artifact Analysis에서 여러 유형의 OS 패키지 및 애플리케이션 언어 패키지의 취약점을 스캔할 수 있습니다.

다음 표에서는 Artifact Analysis에서 각 스캔 서비스로 스캔할 수 있는 패키지 유형을 비교합니다.

지원되는 OS 패키지

	Artifact Registry를 사용한 자동 스캔	주문형 스캔
AlmaLinux OS
Alpine
CentOS
Chainguard
Debian
Google Distroless
RHEL(Red Hat Enterprise Linux)
Red Hat Universal Base Image (UBI)
Rocky Linux
SLES(SUSE Linux Enterprise Server)
Ubuntu
Wolfi

지원되는 애플리케이션 언어 패키지

	Artifact Registry를 사용한 자동 스캔	주문형 스캔
Go 패키지
자바 패키지
Node.js 패키지
PHP 패키지
Python 패키지
Ruby 패키지
Rust 패키지
.NET 패키지

Artifact Analysis는 패키지가 컨테이너화되어 Docker 형식 저장소에 저장된 경우에만 Artifact Registry의 애플리케이션 언어 패키지를 스캔합니다. 다른 Artifact Registry 저장소 형식은 지원되지 않습니다.

각 레지스트리 제품에서 사용할 수 있는 기능에 대한 자세한 내용은 비교 차트를 참고하세요.

Windows Server 컨테이너에서는 Artifact Analysis가 지원되지 않습니다.

Artifact Analysis 인터페이스

Google Cloud 콘솔에서 Artifact Registry 컨테이너의 이미지 취약점과 이미지 메타데이터를 볼 수 있습니다.

gcloud CLI를 사용하여 취약점 및 이미지 메타데이터를 볼 수 있습니다.

Artifact Analysis REST API를 사용하여 이러한 작업을 수행할 수도 있습니다. 다른 Cloud Platform API를 이용할 때처럼 OAuth2를 이용해 액세스를 인증해야 합니다. 인증 후 API를 사용하여 맞춤 메모와 어커런스를 만들고 취약점 어커런스를 확인할 수도 있습니다.

Artifact Analysis API는 gRPC와 REST/JSON을 모두 지원합니다. 클라이언트 라이브러리나 REST/JSON용 cURL을 사용하여 API를 호출할 수 있습니다.

취약한 이미지의 배포 제어

Artifact Analysis를 Binary Authorization과 통합하여 증명을 만들 수 있으며, 이를 통해 알려진 보안 문제가 있는 컨테이너 이미지가 배포 환경에서 실행되는 것을 방지할 수 있습니다.

또한 Binary Authorization을 사용하여 배포의 일부로 Artifact Analysis에서 제공하는 취약점 정보를 기반으로 취약점 허용 목록을 만들 수 있습니다. 취약점이 허용 목록의 정책을 위반하면 알림이 표시됩니다.

마지막으로 주문형 검사를 사용하여 발견된 취약점의 심각도에 따라 빌드를 차단하고 실패할 수 있습니다.

취약점 소스

다음 섹션에는 아티팩트 분석에서 CVE 데이터를 가져오는 데 사용하는 취약점 소스가 나열되어 있습니다.

OS 패키지 스캔

Artifact Analysis는 다음 소스를 사용합니다.

• AlmaLinux OS
• Alpine
• CentOS - Red Hat과 CentOS는 동일한 취약점 데이터 소스를 공유합니다. CentOS 패키지는 Red Hat 패키지 이후에 게시되므로 Red Hat의 취약점에 사용할 수 있는 수정사항이 CentOS에서도 제공되기까지 시간이 걸릴 수 있습니다.
• Chainguard
• Debian
• Google Distroless는 Debian을 기반으로 하며 Debian 취약점 데이터를 사용합니다.
• National Vulnerability Database
• RHEL(Red Hat Enterprise Linux)
• Red Hat Universal Base Image (UBI)
• Rocky Linux
• SLES(SUSE Linux Enterprise Server)
• Ubuntu
• Wolfi

언어 패키지 스캔

Artifact Analysis는 컨테이너 이미지 내의 언어 패키지에 대한 취약점 스캔을 지원합니다. 취약점 데이터는 GitHub Advisory Database에서 가져옵니다.

대부분의 경우 각 취약점에는 CVE ID가 할당되며 이 ID가 해당 취약점의 기본 식별자가 됩니다. 취약점에 할당된 CVE ID가 없는 경우 GHSA ID가 대신 식별자로 할당됩니다. 나중에 해당 취약점에 CVE ID가 부여되면 취약점 ID가 CVE와 일치하도록 업데이트됩니다. 자세한 내용은 프로젝트에서 특정 취약점 확인하기를 참고하세요.

지원되는 OS 버전

Artifact Analysis는 다음 버전의 운영체제 소프트웨어에 대한 취약점 스캔을 지원합니다.

• AlmaLinux OS - 버전: 8, 9, 10 및 부 버전
• Alpine Linux - 버전: 3.3, 3.4, 3.5, 3.6, 3.7, 3.8, 3.9, 3.10, 3.11, 3.12, 3.13, 3.14, 3.15, 3.16, 3.17, 3.18, 3.19, 3.20, 3.21, 3.22
• CentOS - 버전: 6, 7, 8 및 부 버전
• Chainguard - 단일 출시 트랙에서 순차적 업데이트를 실행합니다.
• Debian GNU/Linux - 버전: 11, 12, 13, 14, 15
• Red Hat Enterprise Linux (RHEL) - 버전: 7, 8, 9, 10 및 부 버전은 자동 레지스트리 검사에서 지원됩니다.
• Red Hat Universal Base Image (UBI) - 버전 8, 9, 10 및 하위 버전
• Rocky Linux - 버전: 8, 9, 10 및 부 버전
• SUSE Linux Enterprise Server (SLES) - 버전: 12, 15 및 하위 버전. SLES for SAP도 동일한 버전으로 지원됩니다.
• Ubuntu - 버전: 14.04, 16.04, 18.04, 20.04, 22.04, 24.04, 24.10, 25.04
• Wolfi - 단일 출시 트랙에서 순차적 업데이트를 제공합니다.

제한사항

• Artifact Analysis의 기본 기능은 컨테이너의 취약점을 스캔하고 감지하여 조직에 표시하는 것입니다. Artifact Analysis는 조직의 이미지 무결성 또는 신뢰성을 검증하는 능력을 높이거나 낮출 수 있는 이미지의 특징을 식별한다고 주장하지 않습니다. 이러한 신뢰를 더욱 발전시키기 위해 Google에서는 개별적으로 또는 조합하여 사용할 수 있는 솔루션을 제공합니다. 소프트웨어 공급망 보안에 대한 Google의 접근 방식 자세히 알아보기

• 아티팩트 분석은 출시된 각 주 버전의 최신 부 버전을 기반으로 RHEL의 취약점 스캔 결과를 제공합니다. 이전 RHEL의 부 버전의 경우 스캔 결과가 부정확할 수 있습니다.

• RHEL 버전 9는 온디맨드 검사에서 지원되지 않습니다.

패키지 관리자 및 시맨틱 버전 관리

• Go - Artifact Analysis는 Go 표준 라이브러리의 패키지와 표준 라이브러리에 포함되지 않은 외부 Go 패키지의 취약점을 보고합니다. 취약점은 패키지 유형마다 다른 라벨로 보고됩니다.
• Java - Artifact Analysis는 Maven 이름 지정 규칙을 따르는 Maven 패키지를 지원합니다. 패키지 버전에 공백이 포함되어 있으면 스캔되지 않습니다.
• Node.js - 패키지 버전 일치는 시맨틱 버전 관리 사양을 따릅니다.
• PHP - Artifact Analysis에서 Composer 패키지를 스캔합니다. Composer 시맨틱 버전 관리를 참고하세요.
• Python - Python 버전 일치는 PEP 440 시맨틱을 따릅니다.
• Ruby - Artifact Analysis는 RubyGems 패키지를 스캔합니다. RybyGems 시맨틱 버전 관리를 참고하세요.
• Rust - Artifact Analysis에서 Cargo 패키지를 스캔합니다. Rust 시맨틱 버전 관리를 참고하세요.
• .NET - Artifact Analysis는 NuGet 패키지를 스캔합니다. NuGet 시맨틱 버전 관리를 참고하세요.

다음 단계

• 자동 스캔 설정 및 결과 보기
• 주문형 스캔 실행