Consulta las estadísticas de seguridad de compilación

En esta página, se explica cómo ver la información de seguridad sobre tus compilaciones de Cloud Build con el panel lateral Estadísticas de seguridad en la consola de Google Cloud.

El panel lateral Estadísticas de seguridad proporciona una descripción general de alto nivel de varias métricas de seguridad. Puedes usar el panel lateral para identificar y mitigar los riesgos en el proceso de compilación.

En este panel, se muestra la siguiente información:

• Niveles de cadena de suministro para el nivel de artefactos de software (SLSA): Identifica el nivel de madurez del proceso de compilación de tu software de acuerdo con la especificación SLSA. Por ejemplo, esta compilación alcanzó el nivel SLSA 3.
• Vulnerabilidades: Una descripción general de las vulnerabilidades encontradas en tus artefactos y el nombre de la imagen que Artifact Analysis analizó. Puedes hacer clic en el nombre de la imagen para ver los detalles de la vulnerabilidad. Por ejemplo, en la captura de pantalla, puedes hacer clic en java-guestbook-backend.
• Estado de Vulnerability Exploitability eXchange(VEX) para los artefactos compilados.
• Lista de materiales de software (SBOM) para los artefactos de compilación.
• Detalles de compilación: Detalles de la compilación, como el compilador y el vínculo para ver los registros

Habilitar el análisis de vulnerabilidades

En el panel Security Insights, se muestran datos de Cloud Build y de Artifact Analysis. Artifact Analysis es un servicio que busca vulnerabilidades en los paquetes de SO, Java (Maven) y Go cuando subes artefactos de compilación a Artifact Registry.

Debes habilitar el análisis de vulnerabilidades para recibir el conjunto completo de resultados de Estadísticas de seguridad.

1. Habilita la API de Container Scanning para activar el análisis de vulnerabilidades.

   Habilita la API de Container Scanning

2. Ejecuta una compilación y almacena tu artefacto de compilación en Artifact Registry. Artifact Analysis analiza automáticamente los artefactos de compilación.

El análisis de vulnerabilidades puede tardar unos minutos según el tamaño de tu compilación.

Para obtener más información sobre el análisis de vulnerabilidades, consulta Análisis automático.

El análisis tiene un costo. Consulta la página Precios para obtener información sobre los precios.

Otorga permisos para ver las estadísticas

Para ver las estadísticas de seguridad en la consola de Google Cloud, debes tener los siguientes roles de IAM o una función con permisos equivalentes. Si Artifact Registry y Artifact Analysis se ejecutan en proyectos diferentes, debes agregar el rol Visualizador de casos de Container Analysis o permisos equivalentes en el proyecto en el que se ejecuta Artifact Analysis.

• Visualizador de Cloud Build (roles/cloudbuild.builds.viewer): Visualiza las estadísticas de una compilación.
• Visualizador de casos de Container Analysis (roles/containeranalysis.occurrences.viewer): Visualiza vulnerabilidades y otra información sobre dependencias.

Visualiza el panel lateral de Security Insights

Para ver el panel Estadísticas de seguridad, sigue estos pasos:

1. Abre la página Historial de compilaciones en la consola de Google Cloud:

   Abrir la página Historial de compilación

2. Selecciona tu proyecto y haz clic en Open.

3. En el menú desplegable Región, selecciona la región en la que ejecutaste tu compilación.

4. En la tabla con las compilaciones, ubica la fila con la compilación para la que deseas ver las estadísticas de seguridad.

5. En la columna Estadísticas de seguridad, haz clic en Ver.

   Se abrirá el panel lateral Estadísticas de seguridad.

6. [Opcional] Si tu compilación produce varios artefactos, selecciona el artefacto para el que deseas ver las estadísticas de seguridad en el cuadro desplegable Artefacto.

   

   Se mostrará el panel Estadísticas de seguridad del artefacto seleccionado.

Nivel SLSA

El nivel SLSA califica el nivel actual de garantía de seguridad de tu compilación en función de una colección de lineamientos.

Vulnerabilidades

En la tarjeta Vulnerabilidades, se muestran los casos de vulnerabilidades, las correcciones disponibles y el estado de VEX para los artefactos de compilación.

Artifact Analysis admite el análisis de imágenes de contenedor enviadas a Artifact Registry. Los análisis detectan vulnerabilidades en los paquetes del sistema operativo y de los paquetes de aplicación creados en Java (Maven) o Go.

Los resultados del análisis se organizan por nivel de gravedad. El nivel de gravedad es una evaluación cualitativa basada en la capacidad de explotación, el alcance, el impacto y la madurez de la vulnerabilidad.

Haz clic en el nombre de la imagen para ver los artefactos que se analizaron en busca de vulnerabilidades.

Para cada imagen de contenedor que se envía a Artifact Registry, Artifact Analysis puede almacenar una declaración VEX asociada. VEX es un tipo de alerta de seguridad que indica si un producto se ve afectado por una vulnerabilidad conocida.

Cada declaración de VEX proporciona lo siguiente:

• El publicador de la declaración VEX
• El artefacto para el que está escrita la declaración.
• La evaluación de vulnerabilidades (estado de VEX) para cualquier vulnerabilidades conocidas

Dependencias

En la tarjeta Dependencies, se muestra una lista de las SBOM con una lista de dependencias.

Cuando compilas una imagen de contenedor con Cloud Build y la envías a Artifact Registry, Artifact Analysis puede generar registros SBOM para las imágenes enviadas.

Una SBOM es un inventario completo de una aplicación, que identifica los paquetes en los que se basa tu software. El contenido puede incluir software de terceros de proveedores, artefactos internos y bibliotecas de código abierto.

Desarrollo

La tarjeta de compilación incluye la siguiente información:

• Registros: Vínculos a la información de registro de compilación
• Builder: Nombre del compilador.
• Completada: Es el tiempo transcurrido desde que se completó la compilación.
• Procedencia: Son metadatos verificables sobre una compilación.

Los metadatos de procedencia incluyen detalles como los resúmenes de las imágenes compiladas, las ubicaciones de las fuentes de entrada, la cadena de herramientas de compilación, los pasos y la duración de la compilación. También puedes validar la procedencia de la compilación en cualquier momento.

A fin de asegurarte de que tus compilaciones futuras incluyan información de origen, configura Cloud Build para que exija que tus imágenes tengan metadatos de origen.

Usa Cloud Build con Software Delivery Shield (Escudo de entrega de software)

El panel lateral Security Insights en Cloud Build es un componente de la solución Software Delivery Shield. Software Delivery Shield es una solución de seguridad de la cadena de suministro de software de extremo a extremo completamente administrada que te ayuda a mejorar la postura de seguridad de los flujos de trabajo y las herramientas de los desarrolladores, las dependencias de software, los sistemas de CI/CD utilizados para compilar e implementar el software, y los entornos de ejecución, como Google Kubernetes Engine y Cloud Run.

Si quieres obtener información para usar Cloud Build con otros componentes del Software Delivery Shield para mejorar la postura de seguridad de tu cadena de suministro de software, consulta la descripción general del Escudo de entrega de software.

¿Qué sigue?

• Obtén información para usar el Escudo de entrega de software.
• Conoce las prácticas recomendadas para la seguridad de la cadena de suministro de software.
• Aprende a almacenar y ver registros de compilación.
• Obtén más información para solucionar errores de compilación.