Nesta página, explicamos como ver informações de segurança sobre seus builds do Cloud Build usando o painel lateral Insights de segurança no console do Google Cloud.
O painel lateral Insights de segurança apresenta informações gerais de várias métricas de segurança. Você pode usar o painel lateral para identificar e mitigar riscos no processo de build.
Esse painel mostra as seguintes informações:
- Nível da cadeia de suprimentos para nível de artefatos de software (SLSA, na sigla em inglês): identifica o nível de maturidade do processo de criação de software de acordo com a especificação do SLSA. Por exemplo, este build atingiu o nível 3 do SLSA.
- Vulnerabilidades: uma visão geral de todas as vulnerabilidades encontradas nos seus artefatos e o nome da imagem que o Artifact Analysis verificado. Você pode clicar no nome da imagem para visualizar os detalhes da vulnerabilidade. Por exemplo, na captura de tela, clique em java-guestbook-backend.
- Status do Vulnerability, Exploitability eXchange(VEX) para os artefatos criados.
- Lista de materiais de software (SBOM, na sigla em inglês) para os artefatos de build.
- Detalhes da versão: detalhes da versão, como o builder e o link para ver registros.
Ativar verificação de vulnerabilidades
O painel Insights de segurança exibe dados do Cloud Build e do Artifact Analysis. O Artifact Analysis é um serviço que verifica vulnerabilidades em pacotes do SO, Java (Maven) e Go quando você faz upload de artefatos de build para o Artifact Registry.
Ative a verificação de vulnerabilidades para receber o conjunto completo de resultados de insights de segurança.
Ative a API Container Scanning para ativar a verificação de vulnerabilidades.
Execute um build e armazene seu artefato de build no Artifact Registry. O Artifact Analysis verifica automaticamente os artefatos de build.
A verificação de vulnerabilidades pode levar alguns minutos, dependendo do tamanho do build.
Para mais informações sobre a verificação de vulnerabilidades, consulte Verificação automática.
A verificação tem um custo. Consulte a página de preços para informações sobre preços.
Conceder permissões para visualizar insights
Para visualizar os insights de segurança no console do Google Cloud, você precisa ter os papéis do IAM a seguir ou um papel com permissões equivalentes. Se o Artifact Registry e o Artifact Analysis estiverem em execução em projetos diferentes, adicione o papel de visualizador de ocorrências do Container Analysis ou permissões equivalentes ao projeto em que o Artifact Analysis estiver em execução.
- Leitor do Cloud Build
(
roles/cloudbuild.builds.viewer): exibe insights de um build. - Leitor de ocorrências do Container Analysis
(
roles/containeranalysis.occurrences.viewer): veja vulnerabilidades e outras informações de dependência.
Confira o painel lateral "Insights de segurança"
Para ver o painel Insights de segurança, faça o seguinte:
Abra a página Histórico de builds no console do Google Cloud:
Selecione o projeto e clique em Abrir.
No menu suspenso Região, selecione a região em que você executou o build.
Na tabela com as builds, localize a linha com a build da qual você quer visualizar insights de segurança.
Na coluna Insights de segurança, clique em Ver.
O painel lateral Insights de segurança será aberto.
[Opcional] Se a versão produzir vários artefatos, selecione aquele com os insights de segurança que você quer ver na caixa suspensa Artefato.
O painel Insights de segurança para o artefato selecionado será exibido.
Nível da SLSA
O nível SLSA (em inglês) classifica o nível de garantia de segurança atual do build com base em um conjunto de diretrizes.
Vulnerabilidades
O card Vulnerabilidades exibe as ocorrências de vulnerabilidade, as correções disponíveis e o status VEX dos artefatos de build.
O Artifact Analysis oferece suporte à verificação de imagens de contêiner enviadas para o Artifact Registry. As verificações detectam vulnerabilidades em pacotes de sistema operacional e em pacotes de aplicativos criados em Java (Maven) ou Go.
Os resultados da verificação são organizados por nível de gravidade. O nível de gravidade é uma avaliação qualitativa baseada na capacidade de exploração, escopo, impacto e maturidade da vulnerabilidade.
Clique no nome da imagem para ver os artefatos que foram verificados em busca de vulnerabilidades.
Para cada imagem de contêiner enviada ao Artifact Registry, o Artifact Analysis pode armazenar uma instrução VEX associada. VEX é um tipo de recomendação de segurança que indica se um produto foi afetado por uma vulnerabilidade conhecida.
Cada instrução VEX fornece:
- O editor da declaração VEX
- O artefato em que a instrução foi escrita
- A avaliação de vulnerabilidade (status VEX) de todas as vulnerabilidades conhecidas
Dependências
O card Dependencies mostra uma lista de SBOMs com uma lista de dependências.
Quando você cria uma imagem de contêiner usando o Cloud Build e a envia para o Artifact Registry, o Artifact Analysis pode gerar registros SBOM para as imagens enviadas.
Um SBOM é um inventário completo de um aplicativo, identificando os pacotes de que seu software depende. O conteúdo pode incluir software de terceiros de fornecedores, artefatos internos e bibliotecas de código aberto.
Criação
O card "Build" inclui as seguintes informações:
- Registros: links para as informações do registro do build.
- Builder: nome do builder
- Concluído: tempo decorrido desde a conclusão do build
- Procedência: metadados verificáveis sobre um build
Os metadados de origem incluem detalhes como os resumos das imagens criadas, os locais de origem de entrada, o conjunto de ferramentas de build, as etapas e a duração da compilação. Também é possível validar a origem de build a qualquer momento.
Para garantir que as versões futuras incluam informações de procedência, configure o Cloud Build para exigir que as imagens tenham metadados de procedência.
Usar o Cloud Build com o Software Delivery Shield
O painel lateral Insights de segurança no Cloud Build é um componente da solução Software Delivery Shield. O Software Delivery Shield é uma solução completa e totalmente gerenciada de segurança da cadeia de suprimentos de software que ajuda a melhorar a postura de segurança dos fluxos de trabalho e ferramentas do desenvolvedor, dependências de software, sistemas de CI/CD usados para criar e implantar seu software e ambientes de execução, como o Google Kubernetes Engine e o Cloud Run.
Para saber como usar o Cloud Build com outros componentes do Software Delivery Shield para melhorar a postura de segurança da sua cadeia de suprimentos de software, consulte Visão geral do Software Delivery Shield.
A seguir
- Saiba como usar o Software Delivery Shield.
- Conheça as práticas recomendadas de segurança da cadeia de suprimentos de software.
- Saiba como armazenar e visualizar registros do build.
- Saiba como resolver erros de build.