Artifact Analysis ofrece dos funciones para analizar tus contenedores: análisis bajo demanda y análisis automático. En este documento se explican las ventajas de cada uno de ellos. Análisis de artefactos también ofrece gestión de metadatos. Para obtener más información sobre cómo puedes usar el análisis y el almacenamiento de metadatos conjuntamente para proteger tu canalización de CI/CD de principio a fin, consulta la descripción general de Artifact Analysis.
El análisis automático y bajo demanda puede identificar vulnerabilidades en tu sistema operativo y en paquetes de idiomas (Java y Go). Sin embargo, el análisis automático de paquetes de idiomas solo está disponible en Artifact Registry.
Para ver una lista de los tipos de análisis admitidos en cada producto de registro, consulta la tabla comparativa.
Consulta los precios para obtener más información sobre los costes asociados al análisis de imágenes de contenedor.
Análisis bajo demanda
El análisis bajo demanda te permite analizar imágenes de contenedor de forma local en tu ordenador o en tu registro mediante la CLI de gcloud. De esta forma, puedes personalizar tu canalización de CI/CD en función de cuándo necesites acceder a los resultados de las vulnerabilidades.
Búsqueda automática
Artifact Analysis realiza análisis de vulnerabilidades en tus artefactos de Artifact Registry. Artifact Analysis también monitoriza la información sobre vulnerabilidades para mantenerla actualizada. Este proceso consta de dos tareas principales: el análisis al enviar y el análisis continuo.
Análisis push
Artifact Analysis analiza las imágenes nuevas cuando se suben a Artifact Registry. Este análisis extrae información sobre los paquetes del sistema en el contenedor. Las imágenes se analizan solo una vez, en función del resumen de la imagen. Esto significa que añadir o modificar etiquetas no activará nuevos análisis, solo lo hará cambiar el contenido de la imagen.
Análisis de artefactos solo detecta paquetes monitorizados públicamente para vulnerabilidades de seguridad.
Cuando se completa el análisis de una imagen, el resultado de vulnerabilidad generado es la colección de incidencias de vulnerabilidades de esa imagen.
Análisis continuo
Artifact Analysis crea ocurrencias de las vulnerabilidades que se encuentran al subir la imagen. Después del análisis inicial, monitoriza continuamente los metadatos de las imágenes analizadas en Artifact Registry para detectar nuevas vulnerabilidades.
Análisis de artefactos recibe información nueva y actualizada sobre vulnerabilidades de fuentes de vulnerabilidades varias veces al día. Cuando llegan nuevos datos de vulnerabilidades, Artifact Analysis actualiza los metadatos de las imágenes analizadas para que estén al día. Análisis de artefactos actualiza las incidencias de vulnerabilidades, crea incidencias de vulnerabilidades para las notas nuevas y elimina las incidencias de vulnerabilidades que ya no son válidas.
Análisis de artefactos solo actualiza los metadatos de las imágenes que se han insertado o extraído en los últimos 30 días. Transcurridos 30 días, los metadatos dejarán de actualizarse y los resultados estarán obsoletos. Además, Análisis de artefactos archiva los metadatos que no se han actualizado en más de 90 días, y estos no estarán disponibles en la consola de Google Cloud , gcloud ni mediante la API. Para volver a analizar una imagen con metadatos obsoletos o archivados, extrae esa imagen. La actualización de los metadatos puede tardar hasta 24 horas.
Listas de manifiestos
También puedes usar el análisis de vulnerabilidades con listas de manifiestos. Una lista de manifiestos es una lista de punteros a manifiestos de varias plataformas. Permiten que una sola imagen funcione con varias arquitecturas o variaciones de un sistema operativo.
El análisis de vulnerabilidades de Artifact Analysis solo admite imágenes de Linux amd64. Si su lista de manifiestos apunta a más de una imagen Linux amd64, solo se analizará la primera. Si no hay punteros a imágenes Linux amd64, no obtendrá ningún resultado del análisis.