Build-Herkunft ansehen

Auf dieser Seite finden Sie eine Anleitung dazu, wie Sie von Cloud Build generierte Build-Metadaten aufrufen und prüfen können.

Die Build-Herkunft ist eine Sammlung überprüfbarer Daten zu einem Build, der von Cloud Build ausgeführt wird. Herkunftsmetadaten enthalten Details wie die Digests der erstellten Images, die Quell-Speicherorte, die Build-Argumente und die Build-Dauer.

Cloud Build unterstützt die Erstellung einer Build-Herkunft, die die Supply-Chain-Levels for Software Artifacts (SLSA) Level 3 gemäß den SLSA-Version 0.1-Spezifikationen erfüllt. Die Unterstützung für SLSA Version 1.0 ist jetzt in der Vorabversion verfügbar.

Im Rahmen der Unterstützung der SLSA v1.0-Spezifikation stellt Cloud Build buildType-Details bereit. Anhand des buildType-Schemas können Sie sich über die parametrisierte Vorlage informieren, die für den Build-Prozess verwendet wird. Weitere Informationen finden Sie unter Cloud Build-BuildType v1.

Hinweise

  1. Cloud Build, Artifact Analysis, and Artifact Registry APIs aktivieren.

    Aktivieren Sie die APIs

  2. Wenn Sie die Befehlszeilenbeispiele in dieser Anleitung verwenden möchten, installieren und konfigurieren Sie das Google Cloud SDK.

Dieses Feature funktioniert nur mit Container-Images, die in Artifact Registry gespeichert sind.

Build-Herkunft ansehen

In diesem Abschnitt wird erläutert, wie Sie die von Cloud Build erstellten Metadaten zur Build-Herkunft aufrufen.

Wenn Sie ein Image mit Cloud Build erstellen, wird die Build-Herkunft des Images automatisch aufgezeichnet. Sie können diese Informationen später zu Prüfungszwecken abrufen.

Herkunft in der Google Cloud Console ansehen

Sie können sich die Build-Herkunft in der Google Cloud Console in der Seitenleiste Sicherheitsinformationen ansehen.

Die Seitenleiste Sicherheitsinformationen bietet eine allgemeine Übersicht über Sicherheitsinformationen für Artefakte, die in Artifact Registry gespeichert sind. Weitere Informationen zur Seitenleiste und dazu, wie Sie mit Cloud Build Ihre Softwarelieferkette schützen können, finden Sie unter Statistiken zur Build-Sicherheit ansehen.

Herkunft mit der Google Cloud CLI ansehen

  1. Erstellen Sie mit Cloud Build einen Build, um die Herkunftsmetadaten zu generieren.

    Übertragen Sie das erstellte Image mit dem Feld images anstelle eines docker push-Build-Schritts. Cloud Build generiert nur attestations für Images, die über das Feld images übertragen wurden.

  2. Führen Sie den folgenden Befehl aus, um die generierten Herkunftsmetadaten aufzurufen:

    gcloud artifacts docker images describe \
LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE@sha256:HASH \
--show-provenance

    Ersetzen Sie die Platzhalterwerte im Befehl durch Folgendes:

    • LOCATION: Regionaler oder multiregionaler Speicherort.
    • PROJECT_ID: Google Cloud-Projekt-ID.
    • REPOSITORY: Name des Repositorys.
    • IMAGE: Name des Images.
    • HASH: Der sha256-Hash-Wert des Images. Sie finden diese in der Ausgabe Ihres Builds.

    Die Ausgabe ist die Containerherkunft, wie in der SLSA-Herkunftsspezifikation beschrieben. Beispiel:

      image_summary:
  digest: sha256:7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3
  fully_qualified_digest: us-central1-docker.pkg.dev/my-project/my-repo/my-image@sha256:7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3
  registry: us-central1-docker.pkg.dev
  repository: my-repo
  slsa_build_level: 0
provenance_summary:
  provenance:
  - build:
      inTotoSlsaProvenanceV1:
        _type: https://in-toto.io/Statement/v1
        predicate:
          buildDefinition:
            buildType: https://cloud.google.com/build/gcb-buildtypes/google-worker/v1
            externalParameters:
              buildConfigSource:
                path: cloudbuild.yaml
                ref: refs/heads/main
                repository: git+https://github.com/my-username/my-git-repo
              substitutions: {}
            internalParameters:
              systemSubstitutions:
                BRANCH_NAME: main
                BUILD_ID: e73ca1d4-ec4a-4ea6-acdd-ac8bb16dcc79
                COMMIT_SHA: 525c52c501739e6df0609ed1f944c1bfd83224e7
                LOCATION: us-west1
                PROJECT_NUMBER: '265426041527'
                REF_NAME: main
                REPO_FULL_NAME: my-username/my-git-repo
                REPO_NAME: my-git-repo
                REVISION_ID: 525c52c501739e6df0609ed1f944c1bfd83224e7
                SHORT_SHA: 525c52c
                TRIGGER_BUILD_CONFIG_PATH: cloudbuild.yaml
                TRIGGER_NAME: github-trigger-staging
              triggerUri: projects/265426041527/locations/us-west1/triggers/a0d239a4-635e-4bd3-982b-d8b72d0b4bab
            resolvedDependencies:
            - digest:
                gitCommit: 525c52c501739e6df0609ed1f944c1bfd83224e7
              uri: git+https://github.com/my-username/my-git-repo@refs/heads/main
            - digest:
                sha256: 154fcd4d2d65c6a35b06b98053a0829c581e223d530be5719326f5d85d680e8d
              uri: gcr.io/cloud-builders/docker@sha256:154fcd4d2d65c6a35b06b98053a0829c581e223d530be5719326f5d85d680e8d
          runDetails:
            builder:
              id: https://cloudbuild.googleapis.com/GoogleHostedWorker
            byproducts:
            - {}
            metadata:
              finishedOn: '2023-08-01T19:57:10.734471Z'
              invocationId: https://cloudbuild.googleapis.com/v1/projects/my-project/locations/us-west1/builds/e73ca1d4-ec4a-4ea6-acdd-ac8bb16dcc79
              startedOn: '2023-08-01T19:56:57.451553160Z'
        predicateType: https://slsa.dev/provenance/v1
        subject:
        - digest:
            sha256: 7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3
          name: https://us-central1-docker.pkg.dev/my-project/my-repo/my-image
        - digest:
            sha256: 7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3
          name: https://us-central1-docker.pkg.dev/my-project/my-repo/my-image:latest
    createTime: '2023-08-01T19:57:14.810489Z'
    envelope:
      payload: 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
      payloadType: application/vnd.in-toto+json
      signatures:
      - keyid: projects/verified-builder/locations/global/keyRings/attestor/cryptoKeys/google-hosted-worker/cryptoKeyVersions/1
        sig: MEUCIQCss8UlQL2feFePRJuKTE8VA73f85iqj4OJ9SvVPqTNwAIgYyuyuIrl1PxQC5B109thO24Y6NA4bTa0PJY34EHRSVE=
    kind: BUILD
    name: projects/my-project/occurrences/71787589-c6a6-4d6a-a030-9fd041e40468
    noteName: projects/argo-qa/notes/intoto_slsa_v1_e73ca1d4-ec4a-4ea6-acdd-ac8bb16dcc79
    resourceUri: https://us-central1-docker.pkg.dev/my-project/my-repo/my-image@sha256:7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3
    updateTime: '2023-08-01T19:57:14.810489Z'
  - build:
      intotoStatement:
        _type: https://in-toto.io/Statement/v0.1
        predicateType: https://slsa.dev/provenance/v0.1
        slsaProvenance:
          builder:
            id: https://cloudbuild.googleapis.com/GoogleHostedWorker@v0.3
          materials:
          - digest:
              sha1: 525c52c501739e6df0609ed1f944c1bfd83224e7
            uri: git+https://github.com/my-username/my-git-repo
          metadata:
            buildFinishedOn: '2023-08-01T19:57:10.734471Z'
            buildInvocationId: e73ca1d4-ec4a-4ea6-acdd-ac8bb16dcc79
            buildStartedOn: '2023-08-01T19:56:57.451553160Z'
          recipe:
            arguments:
              '@type': type.googleapis.com/google.devtools.cloudbuild.v1.Build
              id: e73ca1d4-ec4a-4ea6-acdd-ac8bb16dcc79
              name: projects/265426041527/locations/us-west1/builds/e73ca1d4-ec4a-4ea6-acdd-ac8bb16dcc79
              options:
                dynamicSubstitutions: true
                logging: LEGACY
                pool: {}
                requestedVerifyOption: VERIFIED
                substitutionOption: ALLOW_LOOSE
              sourceProvenance: {}
              steps:
              - args:
                - tag
                - hello-world
                - us-central1-docker.pkg.dev/my-project/my-repo/my-image
                name: gcr.io/cloud-builders/docker
                pullTiming:
                  endTime: '2023-08-01T19:57:07.231646287Z'
                  startTime: '2023-08-01T19:57:07.225609188Z'
                status: SUCCESS
                timing:
                  endTime: '2023-08-01T19:57:08.343864907Z'
                  startTime: '2023-08-01T19:57:07.225609188Z'
              substitutions:
                BRANCH_NAME: main
                COMMIT_SHA: 525c52c501739e6df0609ed1f944c1bfd83224e7
                REF_NAME: main
                REPO_FULL_NAME: my-username/my-git-repo
                REPO_NAME: my-git-repo
                REVISION_ID: 525c52c501739e6df0609ed1f944c1bfd83224e7
                SHORT_SHA: 525c52c
                TRIGGER_BUILD_CONFIG_PATH: cloudbuild.yaml
                TRIGGER_NAME: github-trigger-staging
            entryPoint: cloudbuild.yaml
            type: https://cloudbuild.googleapis.com/CloudBuildYaml@v0.1
        subject:
        - digest:
            sha256: 7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3
          name: https://us-central1-docker.pkg.dev/my-project/my-repo/my-image
        - digest:
            sha256: 7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3
          name: https://us-central1-docker.pkg.dev/my-project/my-repo/my-image:latest
    createTime: '2023-08-01T19:57:13.168653Z'
    envelope:
      payload: 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
      payloadType: application/vnd.in-toto+json
      signatures:
      - keyid: projects/verified-builder/locations/global/keyRings/attestor/cryptoKeys/provenanceSigner/cryptoKeyVersions/1
        sig: MEUCIQDsD7nX7YgnKrhgiNZXWuvSf_1AG8DgGDUAlZnjT_SB1AIgTBHZPCjTTPk3lQPAccL6WNg457QHufk9T9YB1FW5xbQ=
      - keyid: projects/argo-qa/locations/us-west1/keyRings/attestor/cryptoKeys/builtByGCB/cryptoKeyVersions/1
        sig: MEUCIQDnQmgbIcCkbDZy91HicY-IkcuV5bV_Zo0D1Y_rmsAMyQIga17tv0c_KAW3Uhv8mM2SZwY8D3YuP6TUy7QXDs2cmpA=
    kind: BUILD
    name: projects/my-project/occurrences/8b5dcf9d-4076-4b85-a934-adfb91042088
    noteName: projects/argo-qa/notes/intoto_e73ca1d4-ec4a-4ea6-acdd-ac8bb16dcc79
    resourceUri: https://us-central1-docker.pkg.dev/my-project/my-repo/my-image@sha256:7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3
    updateTime: '2023-08-01T19:57:13.168653Z'

    Beachten Sie bei diesem Beispiel Folgendes:

    • Der Build wurde von einem GitHub-Repository ausgelöst. Das entsprechende Commit wird im Feld materials angezeigt.

    • Die Felder digest und fileHash beziehen sich auf dasselbe Objekt. Das Feld digest ist als Basis 16 (hex-codiert) und das Feld fileHash in Basis 64 codiert.

    • Das Feld envelope enthält zwei Signaturen. Die erste Signatur mit dem Schlüsselnamen provenanceSigner verwendet eine DSSE-konforme Signatur im Format Pre-Authentication Encoding (PAE), die in den Richtlinien für die Binärautorisierung verifiziert werden kann. Wir empfehlen, diese Signatur für neue Verwendungen dieser Herkunft zu verwenden. Die zweite Signatur mit dem Schlüsselnamen builtByGCB wird für die Legacy-Nutzung bereitgestellt.

    • Mit den Signaturen, die automatisch in die Cloud Build-Herkunft eingebunden sind, können Sie den Build-Dienst prüfen, der einen Build ausgeführt hat. Sie können Cloud Build auch so konfigurieren, dass überprüfbare Metadaten über das Dienstkonto aufgezeichnet werden, das zum Initiieren eines Builds verwendet wurde. Weitere Informationen finden Sie unter Container-Images mit Cosign signieren.

Build-Herkunft für regionale Pools ansehen

Cloud Build generiert keine Herkunftsmetadaten für Builds im regionalen Pool, unabhängig davon, ob Sie einen privaten Pool oder einen Standardpool mit einer zugewiesenen Region verwenden. Sie können Herkunftsmetadaten für regionale Builds aktivieren, indem Sie Ihrer Build-Datei eine Option hinzufügen. Weitere Informationen zu Regionen finden Sie unter Cloud-Build-Standorte.

Herkunft für Nicht-Container-Artefakte ansehen

Wenn Sie Ihre Build-Artefakte in Artifact Registry hochladen, generiert Cloud Build Supply Chain Levels for Software Artifacts (SLSA)-Herkunftsmetadaten für eigenständige Java- (Maven), Python- und Node.js (npm)-Anwendungen.

  1. Führen Sie einen Build mit Cloud Build aus, um die Herkunftsmetadaten für Ihre Artefakte zu generieren:

    Wenn der Build abgeschlossen ist, notieren Sie sich den BuildID.

  2. Führen Sie den folgenden API-Aufruf in Ihrem Terminal aus, wobei PROJECT_ID die mit Ihrem Google Cloud-Projekt verknüpfte ID ist:

    alias gcurl='curl -H"Authorization: Bearer $(gcloud auth print-access-token)"'
    gcurl 'https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences'

    Suchen Sie in den Vorkommen für Ihr Projekt nach BuildID, um die Herkunftsinformationen zu finden, die mit jedem Build-Artefakt verknüpft sind.

Herkunft prüfen

In diesem Abschnitt wird erläutert, wie Sie die Build-Herkunft validieren.

Die Validierung der Build-Herkunft hilft Ihnen:

  • Bestätigen, dass Build-Artefakte von vertrauenswürdigen Quellen und Buildern generiert werden
  • Sicherstellen, dass die Herkunftsmetadaten, die Ihren Build-Prozess beschreiben, vollständig und authentisch sind

Weitere Informationen finden Sie unter Builds absichern.

Herkunft mit dem SLSA-Verifizierer validieren

Der SLSA-Verifizierer ist ein Open-Source-CLI-Tool zum Validieren der Build-Integrität basierend auf den SLSA-Spezifikationen.

Wenn der Prüfer Probleme findet, gibt er detaillierte Fehlermeldungen zurück, damit Sie den Build-Prozess aktualisieren und Risiken minimieren können.

So verwenden Sie den SLSA-Verifizierer:

  1. Installieren Sie Version 2.1 oder höher aus dem Repository "slsa-verifier":

    go install github.com/slsa-framework/slsa-verifier/v2/cli/slsa-verifier@VERSION

  2. Legen Sie in der Befehlszeile eine Variable für die Image-ID fest:

    export IMAGE=LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE@sha256:HASH

    Ersetzen Sie die Platzhalterwerte im Befehl durch Folgendes:

    • LOCATION: Regionaler oder multiregionaler Speicherort.
    • PROJECT_ID: Google Cloud-Projekt-ID.
    • REPOSITORY: Name des Repositorys.
    • IMAGE: Image-Name.
    • HASH: Der sha256-Hash-Wert des Images. Sie finden diese in der Ausgabe Ihres Builds.

  3. Autorisieren Sie die gcloud CLI, damit der SLSA-Verifizierer auf Ihre Herkunftsdaten zugreifen kann:

    gcloud auth configure-docker LOCATION-docker.pkg.dev

  4. Rufen Sie die Herkunft des Images ab und speichern Sie sie als JSON:

    gcloud artifacts docker images describe $IMAGE --format json --show-provenance > provenance.json

  5. Prüfen Sie die Herkunft:

    slsa-verifier verify-image "$IMAGE" \
--provenance-path provenance.json \
--source-uri SOURCE \
--builder-id=BUILDER_ID

    Wobei:

    • SOURCE ist der Quell-Repository-URI für Ihr Image, z. B. github.com/username/my-application.

      Wenn Sie einen Build verifizieren, der nicht von einem Git-Trigger erstellt wurde, sieht die Quelle anders aus. Wenn Sie beispielsweise lokal am Quellcode arbeiten, lädt gcloud builds submit ihn in Cloud Storage hoch. Dann sehen Ihre Cloud Storage-Quellinformationen so aus: gs://myrepo/source/1665165300.279777-955d1904741e4bbeb3461080299e929a.tgz#1665165361152799.

    • BUILDER_ID ist die eindeutige ID für den Builder, z. B. https://cloudbuild.googleapis.com/GoogleHostedWorker.

    Wenn Sie die validierte Herkunft zur Verwendung in einer Richtlinien-Engine ausgeben möchten, verwenden Sie den vorherigen Befehl mit dem Flag --print-provenance.

    Die Ausgabe sieht in etwa so aus: PASSED: Verified SLSA provenance oder FAILED: SLSA verification failed: <error details>.

Weitere Informationen zu optionalen Flags finden Sie unter Optionen.

Herkunftsmetadaten mit der gcloud CLI validieren

Wenn Sie prüfen möchten, ob die Build-Herkunftsmetadaten nicht manipuliert wurden, können Sie die Herkunft validieren. Gehen Sie dazu so vor:

  1. Erstellen Sie ein neues Verzeichnis und wechseln Sie in dieses Verzeichnis.

    mkdir provenance && cd provenance

  2. Rufen Sie mithilfe der Informationen aus dem Feld keyid den öffentlichen Schlüssel ab.

    gcloud kms keys versions get-public-key 1 --location global --keyring attestor \
--key builtByGCB --project verified-builder --output-file my-key.pub

  3. Die payload enthält die in base64url codierte JSON-Darstellung der Herkunft. Decodieren Sie die Daten und speichern Sie sie in einer Datei.

    gcloud artifacts docker images describe \
LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE@sha256:HASH --show-provenance \
--format=json | jq -r '.provenance_summary.provenance[] | select(.build.intotoStatement.predicateType == "https://slsa.dev/provenance/v0.1") | .envelope.payload' | tr '\-_' '+/' | base64 -d > provenance.json

    Sowohl SLSA-Version 0.1 als auch 1.0-Herkunftstypen werden gespeichert, sofern verfügbar. Wenn Sie nach Version 1.0 filtern möchten, ändern Sie predicateType so, dass https://slsa.dev/provenance/v1 verwendet wird. Beispiel:

    gcloud artifacts docker images describe \
LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE@sha256:HASH --show-provenance \
--format=json | jq -r '.provenance_summary.provenance[] | select(.build.intotoStatement.predicateType == "https://slsa.dev/provenance/v1") | .envelope.payload' | tr '\-_' '+/' | base64 -d > provenance.json

  4. Der Envelope enthält auch die Signatur über die Herkunft. Decodieren Sie die Daten und speichern Sie sie in einer Datei.

    gcloud artifacts docker images describe LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE@sha256:HASH --show-provenance \
--format=json | '.provenance_summary.provenance[] | select(.build.intotoStatement.predicateType == "https://slsa.dev/provenance/v0.1") | .envelope.signatures[0].sig' | tr '\-_' '+/' | base64 -d > signature.bin

    Wenn Sie nach Version 1.0 filtern möchten, ändern Sie predicateType in https://slsa.dev/provenance/v1. Beispiel:

    gcloud artifacts docker images describe LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE@sha256:HASH --show-provenance \
--format=json | jq -r '.provenance_summary.provenance[] | select(.build.intotoStatement.predicateType == "https://slsa.dev/provenance/v1") | .envelope.signatures[0].sig' | tr '\-_' '+/' | base64 -d > signature.bin

  5. Der obige Befehl verweist auf die erste Herkunftssignatur (.provenance_summary.provenance[0].envelope.signatures[0]), die durch den Schlüssel provenanceSigner signiert wird. Die Nutzlast wird über den Umschlag im PAE-Format signiert. Führen Sie diesen Befehl aus, um die Herkunft in das erwartete PAE-Format von "DSSEv1" + SP + LEN(type) + SP + type + SP + LEN(body) + SP + body umzuwandeln.

    echo -n "DSSEv1 28 application/vnd.in-toto+json $(cat provenance.json | wc -c) $(cat provenance.json)" > provenance.json

  6. Überprüfen Sie die Signatur.

    openssl dgst -sha256 -verify my-key.pub -signature signature.bin provenance.json

    Nach einer erfolgreichen Validierung ist die Ausgabe Verified OK.

Images müssen mit Herkunftsmetadaten verknüpft sein

Wenn Cloud Build keine Herkunftsmetadaten generiert, wird der Build standardmäßig trotzdem erfolgreich abgeschlossen. Wenn Sie dieses Verhalten überschreiben und Builds fehlschlagen lassen möchten, wenn Cloud Build keine Herkunftsmetadaten für Ihr Image generiert, fügen Sie der Build-Konfigurationsdatei die Option requestedVerifyOption: VERIFIED hinzu.

steps:
- name: 'gcr.io/cloud-builders/docker'
  args: [ 'build', '-t', 'us-central1-docker.pkg.dev/$PROJECT_ID/quickstart-docker-repo/quickstart-image:tag1', '.' ]
images:
- 'us-central1-docker.pkg.dev/$PROJECT_ID/quickstart-docker-repo/quickstart-image:tag1'
options:
  requestedVerifyOption: VERIFIED

Nach dem Hinzufügen von requestedVerifyOption markiert Cloud Build den Build nur dann als erfolgreich, wenn er die entsprechenden Herkunftsmetadaten generieren kann. Dies betrifft auch Images, die in einem regionalen Pool erstellt wurden, um für diese Images Herkunftsmetadaten und die Attestierungsgenerierung zu aktivieren.

Nächste Schritte