빌드 보안 통계 보기

이 페이지에서는 Google Cloud 콘솔의 보안 통계 측면 패널을 사용하여 Cloud Build 빌드에 대한 보안 정보를 보는 방법을 설명합니다.

보안 통계 측면 패널에서는 여러 보안 측정항목에 대한 대략적인 개요를 제공합니다. 측면 패널을 사용하여 빌드 프로세스의 위험을 식별하고 완화할 수 있습니다.

보안 통계 패널 스크린샷

이 패널에는 다음과 같은 정보가 표시됩니다.

  • 소프트웨어 아티팩트에 대한 공급망 등급(SLSA): SLSA 사양에 따라 소프트웨어 빌드 프로세스의 성숙도 수준을 식별합니다. 예를 들어 이 빌드는 SLSA 등급 3입니다.
  • 취약점: 아티팩트에서 발견된 취약점 개요 및 Artifact Analysis로 검사한 이미지의 이름입니다. 이미지 이름을 클릭하여 취약점 세부정보를 볼 수 있습니다. 예를 들어 스크린샷에서 java-guestbook-backend를 클릭할 수 있습니다.
  • 빌드된 아티팩트의 Vulnerability Exploitability eXchange(VEX) 상태
  • 빌드 아티팩트에 대한 소프트웨어 재료명세서(SBOM).
  • 빌드 세부정보: 빌더 및 로그 보기 링크와 같은 빌드 세부정보입니다.

취약점 스캔 사용 설정

보안 통계 패널에는 Cloud Build 및 Artifact Analysis의 데이터가 표시됩니다. Artifact Analysis는 빌드 아티팩트를 Artifact Registry에 업로드할 때 OS, 자바(Maven), Go 패키지의 취약점을 스캔하는 서비스입니다.

전체 보안 통계 결과를 수신하려면 취약점 스캔을 사용 설정해야 합니다.

  1. Container Scanning API를 사용 설정하여 취약점 스캔을 사용 설정합니다.

    Container Scanning API 사용 설정

  2. 빌드를 실행하고 빌드 아티팩트를 Artifact Registry에 저장합니다. Artifact Analysis에서 자동으로 빌드 아티팩트를 스캔합니다.

빌드 크기에 따라 취약점 스캔에 몇 분 정도 걸릴 수 있습니다.

취약점 스캔에 대한 자세한 내용은 자동 스캔을 참조하세요.

스캔하면 비용이 청구됩니다. 가격 책정 정보는 가격 책정 페이지를 참조하세요.

통계를 볼 수 있는 권한 부여

Google Cloud 콘솔에서 보안 통계를 보려면 다음 IAM 역할이나 이에 상응하는 권한이 있는 역할이 있어야 합니다. Artifact Registry와 Artifact Analysis가 서로 다른 프로젝트에서 실행 중인 경우에는 Artifact Analysis가 실행 중인 프로젝트에 컨테이너 분석 어커런스 뷰어 역할이나 이에 상응하는 권한을 추가해야 합니다.

보안 통계 측면 패널 보기

보안 통계 패널을 보려면 다음 안내를 따르세요.

  1. Google Cloud 콘솔에서 빌드 기록 페이지를 엽니다.

    빌드 기록 페이지 열기

  2. 프로젝트를 선택하고 열기를 클릭합니다.

  3. 리전 드롭다운 메뉴에서 빌드를 실행한 리전을 선택합니다.

  4. 빌드가 포함된 테이블에서 보안 통계를 보려는 빌드가 있는 행을 찾습니다.

  5. 보안 통계 열에서 보기를 클릭합니다.

    그러면 보안 통계 측면 패널이 열립니다.

  6. [선택사항] 빌드가 여러 아티팩트를 생성하는 경우 아티팩트 드롭다운 메뉴에서 보안 통계를 보려는 아티팩트를 선택합니다.

    여러 컨테이너 빌드의 보안 통계 패널 스크린샷

    그러면 선택한 아티팩트의 보안 통계 패널이 표시됩니다.

SLSA 등급

SLSA 등급가이드라인 모음을 기준으로 빌드의 현재 보안 보증 수준을 평가합니다.

취약점

취약점 카드에는 빌드 아티팩트의 취약점 발생, 사용 가능한 수정사항, VEX 상태가 표시됩니다.

Artifact Analysis에서는 Artifact Registry에 푸시된 컨테이너 이미지를 스캔할 수 있습니다. 이 스캔은 운영체제 패키지와 자바(Maven) 또는 Go로 만든 애플리케이션 패키지의 취약점을 감지합니다.

스캔 결과는 심각도 수준을 기준으로 정리됩니다. 심각도 수준은 취약점의 악용 가능성, 범위, 영향, 성숙도가 기준인 정성 평가입니다.

이미지 이름을 클릭하여 취약점이 스캔된 아티팩트를 확인합니다.

Artifact Registry에 푸시된 모든 컨테이너 이미지에 대해 Artifact Analysis는 연결된 VEX 문을 저장할 수 있습니다. VEX는 제품이 알려진 취약점의 영향을 받는지 여부를 나타내는 보안 권고 유형입니다.

각 VEX 문에서는 다음을 제공합니다.

  • VEX 문 게시자
  • 문이 작성된 아티팩트
  • 알려진 취약점에 대한 취약점 평가(VEX 상태)

종속 항목

종속 항목 카드에는 종속 항목 목록과 함께 SBOM 목록이 표시됩니다.

Cloud Build를 사용하여 컨테이너 이미지를 빌드하고 Artifact Registry에 푸시하면 Artifact Analysis에서 푸시된 이미지의 SBOM 레코드를 생성할 수 있습니다.

SBOM은 소프트웨어에서 사용하는 전체 패키지를 식별하는 애플리케이션의 전체 인벤토리입니다. 이러한 콘텐츠에는 공급업체의 서드 파티 소프트웨어, 내부 아티팩트, 오픈소스 라이브러리가 포함될 수 있습니다.

빌드

빌드 카드에는 다음 정보가 포함됩니다.

  • 로그 - 빌드 로그 정보에 대한 링크
  • 빌더 - 빌더 이름
  • 완료됨 - 빌드가 완료된 후 경과한 시간
  • 출처 - 빌드에 대한 검증 가능한 메타데이터

출처 메타데이터에는 빌드된 이미지의 다이제스트, 입력 소스 위치, 빌드 도구 모음, 빌드 단계, 빌드 기간과 같은 세부정보가 포함됩니다. 언제든지 빌드 출처의 유효성을 검사할 수도 있습니다.

향후 빌드에 출처 정보가 포함되도록 하려면 이미지에 출처 메타데이터가 필요하도록 Cloud Build를 구성합니다.

Software Delivery Shield와 함께 Cloud Build 사용

Cloud Build의 보안 통계 측면 패널은 Software Delivery Shield 솔루션 구성요소 중 하나입니다. Software Delivery Shield는 개발자 워크플로 및 도구의 보안 상태, 소프트웨어 종속 항목, 소프트웨어 빌드 및 배포에 사용되는 CI/CD 시스템, Google Kubernetes Engine 및 Cloud Run과 같은 런타임 환경 개선하는 데 도움이 되는 완전 관리형의 엔드 투 엔드 소프트웨어 공급망 보안 솔루션입니다.

Software Delivery Shield의 다른 구성요소와 함께 Cloud Build를 사용하여 소프트웨어 공급망의 보안 상태를 개선하는 방법은 Software Delivery Shield 개요를 참조하세요.

다음 단계