Informationen zur Build-Sicherheit ansehen

Auf dieser Seite wird erläutert, wie Sie Sicherheitsinformationen zu Cloud Build aufrufen Builds über die Seitenleiste Sicherheitsinformationen in der Google Cloud Console.

Im Seitenbereich Sicherheitsinformationen erhalten Sie einen Überblick über mehrere Sicherheitsmesswerte. Über die Seitenleiste können Sie Risiken in Ihres Build-Prozesses.

Screenshot des Bereichs „Sicherheitsstatistiken“

In diesem Bereich werden die folgenden Informationen angezeigt:

  • SLSA-Ebene (Supply-Chain Levels for Software Artifacts): Identifiziert die Reifestufe Ihres Software-Build-Prozesses gemäß der SLSA Spezifikation. Dieser Build hat beispielsweise SLSA Level 3 erreicht.
  • Sicherheitslücken: Eine Übersicht über alle in Ihren Artefakten gefundenen Sicherheitslücken und der Name des Bilds, das von der Artefaktanalyse gescannt wurde. Sie können auf den Image-Namen klicken, um Details zu Sicherheitslücken aufzurufen. Für Im Screenshot können Sie beispielsweise auf java-guestbook-backend klicken.
  • VEX-Status (Vulnerability Exploitability eXchange) für die erstellten Artefakte.
  • Software-Materialliste (SBOM) für die Build-Artefakte.
  • Build-Details: Details des Builds wie der Builder und der Link zum Aufrufen von Logs.

Scannen nach Sicherheitslücken aktivieren

Im Bereich Security Insights (Sicherheitsinformationen) werden Daten aus Cloud Build und aus der Artefaktanalyse. Die Artefaktanalyse ist ein Dienst, der in Betriebssystem-, Java- (Maven) und Go-Pakete, wenn Sie Build-Artefakte in Artifact Registry hochladen.

Sie müssen die Sicherheitslückenprüfung aktivieren, um alle Sicherheitsinformationen zu erhalten.

  1. Aktivieren Sie die Container Scanning API, um das Scannen auf Sicherheitslücken zu aktivieren.

    Container Scanning API aktivieren

  2. Führen Sie einen Build aus und speichern Sie das Build-Artefakt in Artifact Registry. Die Artefaktanalyse scannt die Build-Artefakte automatisch.

Das Scannen auf Sicherheitslücken kann je nach Größe des erstellen.

Weitere Informationen zum Scannen auf Sicherheitslücken finden Sie unter Automatisches Scannen.

Das Scannen ist kostenpflichtig. Preisinformationen finden Sie auf der Preisseite.

Berechtigungen zum Aufrufen von Statistiken erteilen

Wenn Sie Sicherheitsinformationen in der Google Cloud Console aufrufen möchten, benötigen Sie eine der folgenden IAM-Rollen oder eine Rolle mit entsprechenden Berechtigungen. Wenn Artifact Registry und Artifact Analysis in verschiedenen Projekten ausgeführt werden, müssen Sie die Rolle „Betrachter von Container Analysis-Vorkommen“ oder entsprechende Berechtigungen im Projekt hinzufügen, in dem Artifact Analysis ausgeführt wird.

Seitenleiste „Sicherheitsinformationen“ aufrufen

So rufen Sie den Bereich Sicherheitsinformationen auf:

  1. Öffnen Sie in der Google Cloud Console die Seite Build-Verlauf:

    Zur Seite "Build-Verlauf"

  2. Wählen Sie Ihr Projekt aus und klicken Sie auf Öffnen.

  3. Wählen Sie im Drop-down-Menü Region die Region aus, in der Sie Ihren Build ausgeführt haben.

  4. Suchen Sie in der Tabelle mit den Builds die Zeile mit dem Build, für den Sie Sicherheitsinformationen aufrufen möchten.

  5. Klicken Sie in der Spalte Sicherheitsinformationen auf Ansehen.

    Dadurch wird die Seitenleiste Sicherheitsstatistiken geöffnet.

  6. [Optional] Wenn Ihr Build mehrere Artefakte generiert, wählen Sie im Drop-down-Menü Artifact (Artefakt) das Artefakt aus, für das Sie Sicherheitsinformationen aufrufen möchten.

    Screenshot des Bereichs „Sicherheitsinformationen“ für Builds mit mehreren Containern

    Daraufhin wird der Bereich Sicherheitsinformationen für das ausgewählte Artefakt angezeigt.

SLSA-Ebene

Preise auf SLSA-Ebene des aktuellen Sicherheitsniveaus Ihres Builds basierend auf Richtlinien.

Sicherheitslücken

Auf der Karte Vulnerabilities (Sicherheitslücken) werden die Vorkommen von Sicherheitslücken angezeigt, und VEX-Status für die Build-Artefakte.

Artefaktanalyse unterstützt das Scannen nach Container-Images, die per Push-Befehl an Artifact Registry: Die Scans erkennen Sicherheitslücken in Betriebssystempaketen und in Anwendungspaketen, die in Java (Maven) oder Go erstellt wurden.

Scanergebnisse sind nach Schweregrad sortiert Level Der Schweregrad ist eine qualitative Bewertung, die auf der Ausnutzbarkeit, dem Umfang, den Auswirkungen und der Reife der Sicherheitslücke basiert.

Klicken Sie auf den Image-Namen, um die Artefakte aufzurufen, die auf Sicherheitslücken geprüft wurden.

Artefaktanalyse für jedes an Artifact Registry übertragene Container-Image eine zugehörige VEX-Anweisung speichern. VEX ist eine Art von Sicherheitswarnung, die angibt, ob ein Produkt von einer bekannten Sicherheitslücke betroffen ist.

Jede VEX-Anweisung enthält:

  • Der Herausgeber der VEX-Erklärung
  • Das Artefakt, für das die Erklärung verfasst wird
  • Die Sicherheitslückenbewertung (VEX-Status) für alle bekannten Sicherheitslücken

Abhängigkeiten

Auf der Karte Abhängigkeiten wird eine Liste von SBOMs mit Abhängigkeiten.

Wenn Sie ein Container-Image mit Cloud Build erstellen und per Push übertragen an Artifact Registry übertragen, kann die Artefaktanalyse SBOM-Einträge für die übertragenen Images.

Ein SBOM ist ein vollständiges Inventar einer Anwendung, in dem die Pakete aufgeführt sind, auf die Ihre Software angewiesen ist. Der Inhalt kann Software von Drittanbietern, interne Artefakte und Open-Source-Bibliotheken umfassen.

Build

Die Karte „Build“ enthält die folgenden Informationen:

  • Protokolle: Links zu den Informationen in Ihren Build-Protokollen
  • Builder: Name des Builders
  • Completed (Abgeschlossen): Seit Abschluss des Builds verstrichene Zeit
  • Herkunft: überprüfbare Metadaten zu einem Build

Herkunftsmetadaten enthalten Details wie die Digests der erstellten Images, die Quell-Speicherorte, die Build-Toolchain, die Build-Schritte und die Build-Dauer. Sie können auch Builds validieren, provenance jederzeit ändern.

Damit Ihre zukünftigen Builds Informationen zur Herkunft enthalten, konfigurieren Sie Cloud Build, um die Herkunft Ihrer Images zu verlangen Metadaten.

Cloud Build mit Software Delivery Shield verwenden

Der Seitenbereich Sicherheitserkenntnisse in Cloud Build ist eine Komponente der Software Delivery Shield-Lösung. Software Delivery Shield ist eine vollständig verwaltete End-to-End-Sicherheitslösung für die Softwarelieferkette, um den Sicherheitsstatus von Entwicklungs-Workflows und -Tools, Software Abhängigkeiten, CI/CD-Systeme zum Erstellen und Bereitstellen der Software und Laufzeit Google Kubernetes Engine und Cloud Run.

Informationen dazu, wie Sie Cloud Build mit anderen Komponenten von Software Delivery Shield verwenden, um den Sicherheitsstatus Ihrer Softwarelieferkette zu verbessern, finden Sie unter Software Delivery Shield – Übersicht.

Nächste Schritte