Artifact Analysis 簡介

Artifact Analysis 是一系列服務，可提供軟體組合分析、中繼資料儲存與檢索。其偵測點內建於多個 Google Cloud 產品中，例如 Artifact Registry 和 Google Kubernetes Engine (GKE)，可快速啟用。這項服務可與 Google Cloud的第一方產品搭配使用，也能儲存第三方來源的資訊。掃描服務會透過通用安全漏洞儲存庫 將檔案與已知安全漏洞進行比對。

這項服務的舊名稱為「容器分析」。新名稱不會變更現有產品或 API，但反映了產品的擴展功能範圍，不只包含容器。

圖 1. 這張圖表顯示構件分析功能如何建立中繼資料，並與來源、建構、儲存、部署和執行階段環境中的中繼資料互動。

登錄檔掃描

本節將說明 Artifact Registry 的構件分析安全漏洞掃描功能，並列出相關 Google Cloud產品，您可以在這些產品中啟用互補功能，提升安全性。

在 Artifact Registry 中自動掃描

• 每當您將新映像檔推送至 Artifact Registry 時，系統就會自動觸發掃描程序。發現新的安全漏洞時，系統會持續更新安全漏洞資訊。Artifact Registry 包含應用程式語言套件掃描功能。如要開始使用，請啟用自動掃描。

透過 Security Command Center 集中管理風險

• Security Command Center 可集中管理雲端安全，提供安全漏洞掃描、威脅偵測、狀態監控和資料管理功能。Security Command Center 會彙整 Artifact Registry 掃描結果中的安全漏洞發現項目，讓您在 Security Command Center 中，查看所有專案執行中工作負載的容器映像檔安全漏洞，以及其他安全風險。您也可以將這些發現項目匯出至 BigQuery，進行深入分析和長期儲存。詳情請參閱「Artifact Registry 安全漏洞評估」。

GKE 工作負載安全漏洞掃描 - Standard 級別

• 工作負載安全漏洞掃描是 GKE 安全防護機制資訊主頁的一部分，可偵測容器映像檔作業系統安全漏洞。掃描功能免費提供，且可針對每個叢集啟用。您可以在安全防護機制資訊主頁中查看結果。

GKE 工作負載安全漏洞掃描 - 進階安全漏洞深入分析

• 除了基本的容器 OS 掃描功能，GKE 使用者還可以升級至進階安全漏洞分析，持續偵測語言套件中的安全漏洞。您必須在叢集上手動啟用這項功能，之後就能收到 OS 和語言套件安全漏洞結果。進一步瞭解 GKE 工作負載中的安全漏洞掃描。

隨選掃描

• 這項服務不會持續運作，您必須執行指令才能手動啟動掃描。掃描完成後，掃描結果最多會保留 48 小時。掃描完成後，安全漏洞資訊不會更新。您可以掃描本機儲存的映像檔，不必先將映像檔推送到 Artifact Registry 或 GKE 執行階段。詳情請參閱隨選掃描。

存取中繼資料

• Artifact Analysis 是一項 Google Cloud 基礎架構 元件，可讓您儲存及擷取 Google Cloud資源的結構化中繼資料。在發布程序的各個階段中，使用者或自動化系統可以新增用於敘述活動結果的中繼資料。舉例來說，您可以將中繼資料新增至映像檔，表示該映像檔已通過整合測試套件或安全漏洞掃描。

• 將構件分析整合至 CI/CD 管道後，您就能根據中繼資料做出決策。舉例來說，您可以使用二進位授權建立部署政策，只允許從受信任的登錄檔部署符合規範的映像檔。

• Artifact Analysis 會透過註記和例項，將中繼資料與映像檔建立關聯。如要進一步瞭解這些概念，請參閱中繼資料管理頁面。

如要瞭解 Artifact Analysis 功能的費用，請參閱 Artifact Analysis 定價。

後續步驟

• 開始使用自動掃描功能。
• 開始使用 On-Demand Scanning。
• 進一步瞭解掃描概念。
• 進一步瞭解支援的中繼資料類型。