ビルドの来歴を表示する

このページでは、Cloud Build によって生成されたビルドの来歴メタデータを表示および監査する方法について説明します。

ビルドの来歴は、Cloud Build によって実行されるビルドに関する検証可能なデータの集まりです。来歴のメタデータには、ビルドされたイメージのダイジェスト、入力ソースの場所、ビルド引数、ビルド時間などの詳細情報が含まれます。

Cloud Build は、SLSA バージョン 0.1 仕様に基づくソフトウェア アーティファクトのためのサプライ チェーン レベル（SLSA）レベル 3 の保証を満たすビルドの来歴の生成をサポートしています。SLSA バージョン 1.0 のサポートは現在プレビュー版です。

SLSA v1.0 仕様のサポートの一部として、Cloud Build は buildType の詳細を提供します。buildType スキーマを使用して、ビルドプロセスに使用されるパラメータ化されたテンプレートを理解できます。詳細については、Cloud Build buildType v1 をご覧ください。

準備

1. Cloud Build, Artifact Analysis, and Artifact Registry API を有効にします。

   API を有効にする

2. このガイドのコマンドラインの例を使用するには、Google Cloud SDK をインストールして構成します。

この機能は、Artifact Registry に保存されているコンテナ イメージでのみ機能します。

ビルドの来歴を表示する

このセクションでは、Cloud Build によって作成されたビルドの来歴メタデータを表示する方法について説明します。

Cloud Build でイメージをビルドすると、イメージのビルド来歴は自動的に記録されます。この情報は後で監査目的で取得できます。

Google Cloud コンソールで来歴を表示する

ビルドの来歴は、Google Cloud コンソールの [セキュリティ分析情報] サイドパネルで確認できます。

[セキュリティの分析情報] サイドパネルには、Artifact Registry に保存されているアーティファクトのセキュリティ情報の概要が表示されます。サイドパネルの詳細と、Cloud Build を使用してソフトウェアのサプライ チェーンを保護する方法については、ビルドのセキュリティ分析情報を表示するをご覧ください。

Google Cloud CLI を使用して来歴を表示する

1. 来歴メタデータを生成するには、Cloud Build でビルドを実行します。

   docker push ビルドステップではなく、images フィールドを使用して、ビルドされたイメージを push します。Cloud Build は、images フィールドを介して push されたイメージの証明書のみを生成します。

2. 生成された来歴メタデータを表示するには、次のコマンドを実行します。

   gcloud artifacts docker images describe \
   LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE@sha256:HASH \
   --show-provenance
   

   コマンドのプレースホルダ値を、次のように置き換えます。

   • LOCATION: リージョンまたはマルチリージョンのロケーション。
   • PROJECT_ID: Google Cloud プロジェクト ID
   • REPOSITORY: リポジトリの名前。
   • IMAGE: イメージの名前。
   • HASH: イメージの sha256 ハッシュ値。これはビルドの出力で確認できます。

   出力は、SLSA 来歴の仕様で説明されているコンテナの来歴です。次に例を示します。

     image_summary:
     digest: sha256:7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3
     fully_qualified_digest: us-central1-docker.pkg.dev/my-project/my-repo/my-image@sha256:7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3
     registry: us-central1-docker.pkg.dev
     repository: my-repo
     slsa_build_level: 0
   provenance_summary:
     provenance:
     - build:
         inTotoSlsaProvenanceV1:
           _type: https://in-toto.io/Statement/v1
           predicate:
             buildDefinition:
               buildType: https://cloud.google.com/build/gcb-buildtypes/google-worker/v1
               externalParameters:
                 buildConfigSource:
                   path: cloudbuild.yaml
                   ref: refs/heads/main
                   repository: git+https://github.com/my-username/my-git-repo
                 substitutions: {}
               internalParameters:
                 systemSubstitutions:
                   BRANCH_NAME: main
                   BUILD_ID: e73ca1d4-ec4a-4ea6-acdd-ac8bb16dcc79
                   COMMIT_SHA: 525c52c501739e6df0609ed1f944c1bfd83224e7
                   LOCATION: us-west1
                   PROJECT_NUMBER: '265426041527'
                   REF_NAME: main
                   REPO_FULL_NAME: my-username/my-git-repo
                   REPO_NAME: my-git-repo
                   REVISION_ID: 525c52c501739e6df0609ed1f944c1bfd83224e7
                   SHORT_SHA: 525c52c
                   TRIGGER_BUILD_CONFIG_PATH: cloudbuild.yaml
                   TRIGGER_NAME: github-trigger-staging
                 triggerUri: projects/265426041527/locations/us-west1/triggers/a0d239a4-635e-4bd3-982b-d8b72d0b4bab
               resolvedDependencies:
               - digest:
                   gitCommit: 525c52c501739e6df0609ed1f944c1bfd83224e7
                 uri: git+https://github.com/my-username/my-git-repo@refs/heads/main
               - digest:
                   sha256: 154fcd4d2d65c6a35b06b98053a0829c581e223d530be5719326f5d85d680e8d
                 uri: gcr.io/cloud-builders/docker@sha256:154fcd4d2d65c6a35b06b98053a0829c581e223d530be5719326f5d85d680e8d
             runDetails:
               builder:
                 id: https://cloudbuild.googleapis.com/GoogleHostedWorker
               byproducts:
               - {}
               metadata:
                 finishedOn: '2023-08-01T19:57:10.734471Z'
                 invocationId: https://cloudbuild.googleapis.com/v1/projects/my-project/locations/us-west1/builds/e73ca1d4-ec4a-4ea6-acdd-ac8bb16dcc79
                 startedOn: '2023-08-01T19:56:57.451553160Z'
           predicateType: https://slsa.dev/provenance/v1
           subject:
           - digest:
               sha256: 7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3
             name: https://us-central1-docker.pkg.dev/my-project/my-repo/my-image
           - digest:
               sha256: 7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3
             name: https://us-central1-docker.pkg.dev/my-project/my-repo/my-image:latest
       createTime: '2023-08-01T19:57:14.810489Z'
       envelope:
         payload: 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
         payloadType: application/vnd.in-toto+json
         signatures:
         - keyid: projects/verified-builder/locations/global/keyRings/attestor/cryptoKeys/google-hosted-worker/cryptoKeyVersions/1
           sig: MEUCIQCss8UlQL2feFePRJuKTE8VA73f85iqj4OJ9SvVPqTNwAIgYyuyuIrl1PxQC5B109thO24Y6NA4bTa0PJY34EHRSVE=
       kind: BUILD
       name: projects/my-project/occurrences/71787589-c6a6-4d6a-a030-9fd041e40468
       noteName: projects/argo-qa/notes/intoto_slsa_v1_e73ca1d4-ec4a-4ea6-acdd-ac8bb16dcc79
       resourceUri: https://us-central1-docker.pkg.dev/my-project/my-repo/my-image@sha256:7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3
       updateTime: '2023-08-01T19:57:14.810489Z'
     - build:
         intotoStatement:
           _type: https://in-toto.io/Statement/v0.1
           predicateType: https://slsa.dev/provenance/v0.1
           slsaProvenance:
             builder:
               id: https://cloudbuild.googleapis.com/GoogleHostedWorker@v0.3
             materials:
             - digest:
                 sha1: 525c52c501739e6df0609ed1f944c1bfd83224e7
               uri: git+https://github.com/my-username/my-git-repo
             metadata:
               buildFinishedOn: '2023-08-01T19:57:10.734471Z'
               buildInvocationId: e73ca1d4-ec4a-4ea6-acdd-ac8bb16dcc79
               buildStartedOn: '2023-08-01T19:56:57.451553160Z'
             recipe:
               arguments:
                 '@type': type.googleapis.com/google.devtools.cloudbuild.v1.Build
                 id: e73ca1d4-ec4a-4ea6-acdd-ac8bb16dcc79
                 name: projects/265426041527/locations/us-west1/builds/e73ca1d4-ec4a-4ea6-acdd-ac8bb16dcc79
                 options:
                   dynamicSubstitutions: true
                   logging: LEGACY
                   pool: {}
                   requestedVerifyOption: VERIFIED
                   substitutionOption: ALLOW_LOOSE
                 sourceProvenance: {}
                 steps:
                 - args:
                   - tag
                   - hello-world
                   - us-central1-docker.pkg.dev/my-project/my-repo/my-image
                   name: gcr.io/cloud-builders/docker
                   pullTiming:
                     endTime: '2023-08-01T19:57:07.231646287Z'
                     startTime: '2023-08-01T19:57:07.225609188Z'
                   status: SUCCESS
                   timing:
                     endTime: '2023-08-01T19:57:08.343864907Z'
                     startTime: '2023-08-01T19:57:07.225609188Z'
                 substitutions:
                   BRANCH_NAME: main
                   COMMIT_SHA: 525c52c501739e6df0609ed1f944c1bfd83224e7
                   REF_NAME: main
                   REPO_FULL_NAME: my-username/my-git-repo
                   REPO_NAME: my-git-repo
                   REVISION_ID: 525c52c501739e6df0609ed1f944c1bfd83224e7
                   SHORT_SHA: 525c52c
                   TRIGGER_BUILD_CONFIG_PATH: cloudbuild.yaml
                   TRIGGER_NAME: github-trigger-staging
               entryPoint: cloudbuild.yaml
               type: https://cloudbuild.googleapis.com/CloudBuildYaml@v0.1
           subject:
           - digest:
               sha256: 7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3
             name: https://us-central1-docker.pkg.dev/my-project/my-repo/my-image
           - digest:
               sha256: 7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3
             name: https://us-central1-docker.pkg.dev/my-project/my-repo/my-image:latest
       createTime: '2023-08-01T19:57:13.168653Z'
       envelope:
         payload: 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
         payloadType: application/vnd.in-toto+json
         signatures:
         - keyid: projects/verified-builder/locations/global/keyRings/attestor/cryptoKeys/provenanceSigner/cryptoKeyVersions/1
           sig: MEUCIQDsD7nX7YgnKrhgiNZXWuvSf_1AG8DgGDUAlZnjT_SB1AIgTBHZPCjTTPk3lQPAccL6WNg457QHufk9T9YB1FW5xbQ=
         - keyid: projects/argo-qa/locations/us-west1/keyRings/attestor/cryptoKeys/builtByGCB/cryptoKeyVersions/1
           sig: MEUCIQDnQmgbIcCkbDZy91HicY-IkcuV5bV_Zo0D1Y_rmsAMyQIga17tv0c_KAW3Uhv8mM2SZwY8D3YuP6TUy7QXDs2cmpA=
       kind: BUILD
       name: projects/my-project/occurrences/8b5dcf9d-4076-4b85-a934-adfb91042088
       noteName: projects/argo-qa/notes/intoto_e73ca1d4-ec4a-4ea6-acdd-ac8bb16dcc79
       resourceUri: https://us-central1-docker.pkg.dev/my-project/my-repo/my-image@sha256:7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3
       updateTime: '2023-08-01T19:57:13.168653Z'
   

   この例で注意すべき重要な点がいくつかあります。

   • ビルドが GitHub リポジトリからトリガーされました。対応する commit は materials フィールドで確認できます。

   • digest フィールドと fileHash フィールドは、同じオブジェクトを参照します。digest フィールドは base16（16 進数）でエンコードされ、fileHash フィールドは base64 でエンコードされています。

   • envelope フィールドには 2 つの署名があります。鍵名が provenanceSigner の最初の署名は、Binary Authorization ポリシーで検証可能な DSSE 準拠の署名（事前認証のエンコード（PAE）形式）を使用します。この来歴の新しい用途では、この署名を使用することをおすすめします。以前の用途には、鍵名が builtByGCB の別の署名が使用されます。

   • Cloud Build の来歴に自動的に含まれる署名は、ビルドを実行したビルドサービスの検証に役立ちます。ビルドの開始に使用されたサービス アカウントに関する検証可能なメタデータを記録するように Cloud Build を構成することもできます。詳細については、cosign を使用してコンテナ イメージに署名するをご覧ください。

リージョン プールのビルドの場所を表示

Cloud Build は、プライベート プールを使用しているか、リージョンが割り当てられているデフォルトのプールを使用しているかにかかわらず、リージョン プールのビルドの来歴メタデータを生成しません。ビルドファイルにオプションを追加すると、リージョン ビルドの来歴メタデータを有効にできます。リージョンの詳細については、Cloud ビルドのロケーションをご覧ください。

コンテナ以外のアーティファクトの来歴を表示する

Cloud Build は、ビルド アーティファクトを Artifact Registry にアップロードする際に、スタンドアロン Java（Maven）、Python、Node.js（npm）アプリケーションのソフトウェア アーティファクトのためのサプライ チェーン レベル（SLSA）の来歴メタデータを生成します。

1. アーティファクトの来歴メタデータを生成するには、Cloud Build でビルドを実行します。

   • Java アプリケーションのビルド
   • Python アプリケーションを構築する
   • Node.js アプリケーションをビルドする

   ビルドが完了したら、BuildID をメモします。

2. ターミナルで次の API 呼び出しを実行します。PROJECT_ID は Google Cloud プロジェクトに関連付けられた ID です。

   alias gcurl='curl -H"Authorization: Bearer $(gcloud auth print-access-token)"'
       gcurl 'https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences'
   

   プロジェクトのオカレンスで、BuildID を検索して各ビルド アーティファクトに関連付けられた来歴情報を検索します。

来歴の検証

このセクションでは、ビルドの来歴を検証する方法について説明します。

ビルドの来歴を検証すると、次のことに役立ちます。

• 信頼できるソースとビルダーからビルド アーティファクトが生成されていることを確認する
• ビルドプロセスを記述する来歴メタデータが完全で信頼できることを確認する

詳細については、ビルドを保護するをご覧ください。

SLSA 検証ツールを使用して来歴を検証する

SLSA 検証ツールは、SLSA 仕様に基づいてビルドの整合性を検証するためのオープンソースの CLI ツールです。

検証ツールは問題を検出すると、ビルドプロセスの更新とリスクの軽減に役立つ詳細なエラー メッセージを返します。

SLSA 検証ツールを使用するには:

1. バージョン 2.1 以降を slsa-verifier リポジトリからインストールします。

   go install github.com/slsa-framework/slsa-verifier/v2/cli/slsa-verifier@VERSION
   

2. CLI で、イメージ ID の変数を設定します。

   export IMAGE=LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE@sha256:HASH
   

   コマンドのプレースホルダ値を、次のように置き換えます。

   • LOCATION: リージョンまたはマルチリージョンのロケーション。
   • PROJECT_ID: Google Cloud プロジェクト ID
   • REPOSITORY: リポジトリの名前。
   • IMAGE: イメージ名
   • HASH: イメージの sha256 ハッシュ値。これはビルドの出力で確認できます。

3. SLSA 検証ツールが来歴データにアクセスできるように、gcloud CLI を承認します。

   gcloud auth configure-docker LOCATION-docker.pkg.dev
   

4. イメージの来歴を取得し、JSON として保存します。

   gcloud artifacts docker images describe $IMAGE --format json --show-provenance > provenance.json
   

5. 来歴を検証します。

   slsa-verifier verify-image "$IMAGE" \
   --provenance-path provenance.json \
   --source-uri SOURCE \
   --builder-id=BUILDER_ID
   

   ここで

   • SOURCE は、イメージのソース リポジトリの URI です（例: github.com/username/my-application）。

     Git トリガーで生成したビルドではない場合、ソースは異なるように見えます。たとえば、ソースコードをローカルで処理する場合、gcloud builds submit はソースを Cloud Storage にアップロードします。したがって、Cloud Storage ソース情報は gs://myrepo/source/1665165300.279777-955d1904741e4bbeb3461080299e929a.tgz#1665165361152799 のようになります。

   • BUILDER_ID: ビルダーの一意の ID（例: https://cloudbuild.googleapis.com/GoogleHostedWorker）

   ポリシー エンジンで使用する検証済みの来歴を出力するには、上記のコマンドで --print-provenance フラグを使用します。

   出力は次のようになります。PASSED: Verified SLSA provenanceまたはFAILED: SLSA verification failed: <error details>。

オプション フラグの詳細については、オプションをご覧ください。

gcloud CLI を使用して来歴メタデータを検証する

メタデータが改ざんされていないことを確認するには、次の手順を行うことで来歴を検証できます。

1. 新しいディレクトリを作成し、そのディレクトリに移動します。

   mkdir provenance && cd provenance
   

2. keyid フィールドの情報を使用して公開鍵を取得します。

   gcloud kms keys versions get-public-key 1 --location global --keyring attestor \
   --key builtByGCB --project verified-builder --output-file my-key.pub
   

3. payload には、来歴の JSON 表現が base64url でエンコードされています。データをデコードしてファイルに保存します。

   gcloud artifacts docker images describe \
   LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE@sha256:HASH --show-provenance \
   --format=json | jq -r '.provenance_summary.provenance[] | select(.build.intotoStatement.predicateType == "https://slsa.dev/provenance/v0.1") | .envelope.payload' | tr '\-_' '+/' | base64 -d > provenance.json
   

   SLSA バージョン 0.1 と 1.0 の両方の来歴タイプは、使用可能な場合は保存されます。バージョン 1.0 でフィルタする場合は、https://slsa.dev/provenance/v1 を使用するように predicateType を変更します。次に例を示します。

   gcloud artifacts docker images describe \
   LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE@sha256:HASH --show-provenance \
   --format=json | jq -r '.provenance_summary.provenance[] | select(.build.intotoStatement.predicateType == "https://slsa.dev/provenance/v1") | .envelope.payload' | tr '\-_' '+/' | base64 -d > provenance.json
   

4. エンベロープには、来歴の署名も含まれます。データをデコードしてファイルに保存します。

   gcloud artifacts docker images describe LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE@sha256:HASH --show-provenance \
   --format=json | '.provenance_summary.provenance[] | select(.build.intotoStatement.predicateType == "https://slsa.dev/provenance/v0.1") | .envelope.signatures[0].sig' | tr '\-_' '+/' | base64 -d > signature.bin
   

   バージョン 1.0 でフィルタする場合は、https://slsa.dev/provenance/v1 を使用するように predicateType を変更します。次に例を示します。

   gcloud artifacts docker images describe LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE@sha256:HASH --show-provenance \
   --format=json | jq -r '.provenance_summary.provenance[] | select(.build.intotoStatement.predicateType == "https://slsa.dev/provenance/v1") | .envelope.signatures[0].sig' | tr '\-_' '+/' | base64 -d > signature.bin
   

5. 上記のコマンドは、provenanceSigner 鍵によって署名された最初の来歴署名（.provenance_summary.provenance[0].envelope.signatures[0]）を参照します。ペイロードは PAE 形式のエンベロープで署名されます。確認するには、次のコマンドを実行して、来歴を予測される PAE 形式 "DSSEv1" + SP + LEN(type) + SP + type + SP + LEN(body) + SP + body に変換します。

   echo -n "DSSEv1 28 application/vnd.in-toto+json $(cat provenance.json | wc -c) $(cat provenance.json)" > provenance.json
   

6. 署名を検証します。

   openssl dgst -sha256 -verify my-key.pub -signature signature.bin provenance.json
   

   検証が成功すると、「Verified OK」が出力されます。

イメージに来歴のメタデータが関連付けられるように求める

デフォルトでは、Cloud Build が来歴メタデータを生成しない場合、ビルドは正常に完了します。この動作を上書きして、Cloud Build がイメージの来歴メタデータを生成しない場合はビルドが失敗するようにするには、requestedVerifyOption: VERIFIED オプションをビルド構成ファイルに追加します。

steps:
- name: 'gcr.io/cloud-builders/docker'
  args: [ 'build', '-t', 'us-central1-docker.pkg.dev/$PROJECT_ID/quickstart-docker-repo/quickstart-image:tag1', '.' ]
images:
- 'us-central1-docker.pkg.dev/$PROJECT_ID/quickstart-docker-repo/quickstart-image:tag1'
options:
  requestedVerifyOption: VERIFIED

requestedVerifyOption を追加した後、Cloud Build は、対応する来歴メタデータを生成できる場合にのみ、ビルドを成功としてマークします。これは、リージョン プールにビルドされたイメージにも影響し、それらのイメージの来歴メタデータと証明書生成が可能になります。

次のステップ

• ビルドを開始したユーザーを追跡するように Cloud Build を構成する
• Cloud Build パイプラインで脆弱性スキャンを使用する
• ソフトウェア デリバリー シールドについて学習する