Auf dieser Seite wird erläutert, wie Sie Sicherheitsinformationen zu Cloud Build aufrufen Builds über die Seitenleiste Sicherheitsinformationen in der Google Cloud Console.
Im Seitenbereich Sicherheitsinformationen erhalten Sie einen Überblick über mehrere Sicherheitsmesswerte. Über die Seitenleiste können Sie Risiken in Ihres Build-Prozesses.
In diesem Bereich werden die folgenden Informationen angezeigt:
- SLSA-Ebene (Supply-Chain Levels for Software Artifacts): Identifiziert die Reifestufe Ihres Software-Build-Prozesses gemäß der SLSA Spezifikation. Dieser Build hat beispielsweise SLSA Level 3 erreicht.
- Sicherheitslücken: Eine Übersicht über alle in Ihren Artefakten gefundenen Sicherheitslücken und der Name des Bilds, das von der Artefaktanalyse gescannt wurde. Sie können auf den Image-Namen klicken, um Details zu Sicherheitslücken aufzurufen. Für Im Screenshot können Sie beispielsweise auf java-guestbook-backend klicken.
- VEX-Status (Vulnerability Exploitability eXchange) für die erstellten Artefakte.
- Software-Materialliste (SBOM) für die Build-Artefakte.
- Build-Details: Details des Builds wie der Builder und der Link zum Aufrufen von Logs.
Scannen nach Sicherheitslücken aktivieren
Im Bereich Security Insights (Sicherheitsinformationen) werden Daten aus Cloud Build und aus der Artefaktanalyse. Die Artefaktanalyse ist ein Dienst, der in Betriebssystem-, Java- (Maven) und Go-Pakete, wenn Sie Build-Artefakte in Artifact Registry hochladen.
Sie müssen die Sicherheitslückenprüfung aktivieren, um alle Sicherheitsinformationen zu erhalten.
Aktivieren Sie die Container Scanning API, um das Scannen auf Sicherheitslücken zu aktivieren.
Führen Sie einen Build aus und speichern Sie das Build-Artefakt in Artifact Registry. Die Artefaktanalyse scannt die Build-Artefakte automatisch.
Das Scannen auf Sicherheitslücken kann je nach Größe des erstellen.
Weitere Informationen zum Scannen auf Sicherheitslücken finden Sie unter Automatisches Scannen.
Das Scannen ist kostenpflichtig. Preisinformationen finden Sie auf der Preisseite.
Berechtigungen zum Aufrufen von Statistiken erteilen
Wenn Sie Sicherheitsinformationen in der Google Cloud Console aufrufen möchten, benötigen Sie eine der folgenden IAM-Rollen oder eine Rolle mit entsprechenden Berechtigungen. Wenn Artifact Registry und Artifact Analysis in verschiedenen Projekten ausgeführt werden, müssen Sie die Rolle „Betrachter von Container Analysis-Vorkommen“ oder entsprechende Berechtigungen im Projekt hinzufügen, in dem Artifact Analysis ausgeführt wird.
- Cloud Build
Zuschauer
(
roles/cloudbuild.builds.viewer
): Sehen Sie sich Statistiken für einen Build an. - Betrachter von Container Analysis-Vorkommen
(
roles/containeranalysis.occurrences.viewer
): Sicherheitslücken und Informationen zu Abhängigkeiten enthält.
Seitenleiste „Sicherheitsinformationen“ aufrufen
So rufen Sie den Bereich Sicherheitsinformationen auf:
Öffnen Sie in der Google Cloud Console die Seite Build-Verlauf:
Wählen Sie Ihr Projekt aus und klicken Sie auf Öffnen.
Wählen Sie im Drop-down-Menü Region die Region aus, in der Sie Ihren Build ausgeführt haben.
Suchen Sie in der Tabelle mit den Builds die Zeile mit dem Build, für den Sie Sicherheitsinformationen aufrufen möchten.
Klicken Sie in der Spalte Sicherheitsinformationen auf Ansehen.
Dadurch wird die Seitenleiste Sicherheitsstatistiken geöffnet.
[Optional] Wenn Ihr Build mehrere Artefakte generiert, wählen Sie im Drop-down-Menü Artifact (Artefakt) das Artefakt aus, für das Sie Sicherheitsinformationen aufrufen möchten.
Daraufhin wird der Bereich Sicherheitsinformationen für das ausgewählte Artefakt angezeigt.
SLSA-Ebene
Preise auf SLSA-Ebene des aktuellen Sicherheitsniveaus Ihres Builds basierend auf Richtlinien.
Sicherheitslücken
Auf der Karte Vulnerabilities (Sicherheitslücken) werden die Vorkommen von Sicherheitslücken angezeigt, und VEX-Status für die Build-Artefakte.
Artefaktanalyse unterstützt das Scannen nach Container-Images, die per Push-Befehl an Artifact Registry: Die Scans erkennen Sicherheitslücken in Betriebssystempaketen und in Anwendungspaketen, die in Java (Maven) oder Go erstellt wurden.
Scanergebnisse sind nach Schweregrad sortiert Level Der Schweregrad ist eine qualitative Bewertung, die auf der Ausnutzbarkeit, dem Umfang, den Auswirkungen und der Reife der Sicherheitslücke basiert.
Klicken Sie auf den Image-Namen, um die Artefakte aufzurufen, die auf Sicherheitslücken geprüft wurden.
Artefaktanalyse für jedes an Artifact Registry übertragene Container-Image eine zugehörige VEX-Anweisung speichern. VEX ist eine Art von Sicherheitswarnung, die angibt, ob ein Produkt von einer bekannten Sicherheitslücke betroffen ist.
Jede VEX-Anweisung enthält:
- Der Herausgeber der VEX-Erklärung
- Das Artefakt, für das die Erklärung verfasst wird
- Die Sicherheitslückenbewertung (VEX-Status) für alle bekannten Sicherheitslücken
Abhängigkeiten
Auf der Karte Abhängigkeiten wird eine Liste von SBOMs mit Abhängigkeiten.
Wenn Sie ein Container-Image mit Cloud Build erstellen und per Push übertragen an Artifact Registry übertragen, kann die Artefaktanalyse SBOM-Einträge für die übertragenen Images.
Ein SBOM ist ein vollständiges Inventar einer Anwendung, in dem die Pakete aufgeführt sind, auf die Ihre Software angewiesen ist. Der Inhalt kann Software von Drittanbietern, interne Artefakte und Open-Source-Bibliotheken umfassen.
Build
Die Karte „Build“ enthält die folgenden Informationen:
- Protokolle: Links zu den Informationen in Ihren Build-Protokollen
- Builder: Name des Builders
- Completed (Abgeschlossen): Seit Abschluss des Builds verstrichene Zeit
- Herkunft: überprüfbare Metadaten zu einem Build
Herkunftsmetadaten enthalten Details wie die Digests der erstellten Images, die Quell-Speicherorte, die Build-Toolchain, die Build-Schritte und die Build-Dauer. Sie können auch Builds validieren, provenance jederzeit ändern.
Damit Ihre zukünftigen Builds Informationen zur Herkunft enthalten, konfigurieren Sie Cloud Build, um die Herkunft Ihrer Images zu verlangen Metadaten.
Cloud Build mit Software Delivery Shield verwenden
Der Seitenbereich Sicherheitserkenntnisse in Cloud Build ist eine Komponente der Software Delivery Shield-Lösung. Software Delivery Shield ist eine vollständig verwaltete End-to-End-Sicherheitslösung für die Softwarelieferkette, um den Sicherheitsstatus von Entwicklungs-Workflows und -Tools, Software Abhängigkeiten, CI/CD-Systeme zum Erstellen und Bereitstellen der Software und Laufzeit Google Kubernetes Engine und Cloud Run.
Informationen dazu, wie Sie Cloud Build mit anderen Komponenten von Software Delivery Shield verwenden, um den Sicherheitsstatus Ihrer Softwarelieferkette zu verbessern, finden Sie unter Software Delivery Shield – Übersicht.
Nächste Schritte
- Weitere Informationen zur Verwendung von Software Delivery Shield
- Weitere Informationen zur Sicherheit der Softwarelieferkette .
- Weitere Informationen zum Speichern und Anzeigen von Builds Logs
- Build-Fehler beheben