Ver estadísticas de seguridad de compilación

En esta página, se explica cómo ver la información de seguridad de Cloud Build con el panel lateral Estadísticas de seguridad de la consola de Google Cloud.

El panel lateral Estadísticas de seguridad proporciona una descripción general de alto nivel de varios métricas de seguridad. Puedes usar el panel lateral para identificar y mitigar los riesgos en tu proceso de compilación.

Captura de pantalla del panel Estadísticas de seguridad

En este panel, se muestra la siguiente información:

  • Nivel de la cadena de suministro para artefactos de software (SLSA): Identifica la nivel de madurez del proceso de compilación de software de acuerdo con el SLSA especificación. Por ejemplo, esta compilación alcanzó el nivel 3 de SLSA.
  • Vulnerabilidades: Una descripción general de las vulnerabilidades encontradas en tu artefactos y el nombre de la imagen que Artifact Analysis se escaneó. Puedes hacer clic en el nombre de la imagen para ver los detalles de las vulnerabilidades. Para Por ejemplo, en la captura de pantalla, puedes hacer clic en java-guestbook-backend.
  • Estado de Vulnerability Exploitability eXchange(VEX) para los artefactos compilados.
  • Lista de materiales de software (SBOM) para los artefactos de compilación.
  • Detalles de compilación: Detalles de la compilación, como el compilador y el vínculo para ver los registros.

Habilitar el análisis de vulnerabilidades

El panel Estadísticas de seguridad muestra datos de Cloud Build y de Artifact Analysis. Artifact Analysis es un servicio que busca vulnerabilidades en paquetes de SO, Java (Maven) y Go cuando subes artefactos de compilación a Artifact Registry.

Debes habilitar el análisis de vulnerabilidades para recibir el conjunto completo de resultados de las Estadísticas de seguridad.

  1. Habilita la API de Container Scanning para activar el análisis de vulnerabilidades.

    Habilitar la API de Container Scanning

  2. Ejecuta una compilación y almacena tu artefacto de compilación en Artifact Registry. Artifact Analysis analiza automáticamente los artefactos de compilación.

El análisis de vulnerabilidades puede tardar unos minutos, según el tamaño de tu compilar.

Para obtener más información sobre el análisis de vulnerabilidades, consulta Análisis automático en tiempo real.

El análisis tiene un costo. Consulta la página de precios para obtener información sobre los precios.

Otorga permisos para ver estadísticas

Para ver las Estadísticas de seguridad en la consola de Google Cloud, debes tener la siguientes roles de IAM o un rol con permisos equivalentes. Si Artifact Registry y Artifact Analysis son que se ejecutan en proyectos diferentes, debes agregar Rol de visualizador de casos de Container Analysis o equivalente permisos en el proyecto en el que se ejecuta Artifact Analysis.

Consulta el panel lateral Estadísticas de seguridad

Para ver el panel Estadísticas de seguridad, haz lo siguiente:

  1. Abre la página Historial de compilaciones en la consola de Google Cloud:

    Abrir la página Historial de compilación

  2. Selecciona tu proyecto y haz clic en Open.

  3. En el menú desplegable Región, selecciona la región en la que ejecutaste tu compilar.

  4. En la tabla con las compilaciones, ubica la fila con la compilación para la cual desean ver estadísticas de seguridad.

  5. En la columna Estadísticas de seguridad, haz clic en Ver.

    Se abrirá el panel lateral Estadísticas de seguridad.

  6. [Opcional] Si tu compilación produce varios artefactos, selecciona el artefacto para el que deseas ver las estadísticas de seguridad en el cuadro desplegable Artifact.

    Captura de pantalla del panel de estadísticas de seguridad para compilaciones de varios contenedores

    Se mostrará el panel Estadísticas de seguridad del artefacto seleccionado.

Nivel de SLSA

El nivel de SLSA califica el nivel actual de garantía de seguridad de tu compilación en función de un conjunto de lineamientos.

Vulnerabilidades

La tarjeta Vulnerabilidades muestra las ocurrencias de vulnerabilidades, las correcciones disponibles y el estado de VEX para los artefactos de compilación.

Artifact Analysis admite el análisis de imágenes de contenedores enviadas a Artifact Registry. Los análisis detectan vulnerabilidades en los paquetes del sistema operativo y en los paquetes de aplicaciones creados en Java (Maven) o Go.

Los resultados del análisis se organizan por gravedad nivel de almacenamiento. El nivel de gravedad es una evaluación cualitativa basada en la capacidad de explotación, el alcance, el impacto y la madurez de la vulnerabilidad.

Haz clic en el nombre de la imagen para ver los artefactos que se analizaron en busca de vulnerabilidades.

Por cada imagen de contenedor que se envía a Artifact Registry, Artifact Analysis puede almacenar una sentencia VEX asociada. VEX es un tipo de aviso de seguridad que indica si un producto se ve afectado por una vulnerabilidad conocida.

Cada sentencia VEX proporciona lo siguiente:

  • El publicador de la declaración de VEX
  • El artefacto para el que está escrita la instrucción
  • La evaluación de vulnerabilidades (estado de VEX) de cualquier vulnerabilidad conocida

Dependencias

La tarjeta Dependencias muestra una lista de SBOM con una lista de dependencias.

Cuando compilas una imagen de contenedor con Cloud Build a Artifact Registry, Artifact Analysis puede generar registros SBOM las imágenes enviadas.

Un SBOM es un inventario completo de una aplicación que identifica los paquetes en los que se basa tu software. El contenido puede incluir software de terceros de proveedores, artefactos internos y bibliotecas de código abierto.

Compilación

La tarjeta Compilación incluye la siguiente información:

  • Registros: Incluye vínculos a la información de los registros de compilación.
  • Builder: nombre del compilador.
  • Completada: Es el tiempo transcurrido desde que se completó la compilación.
  • Provecencia: Son metadatos verificables sobre una compilación.

Los metadatos de procedencia incluyen detalles como los resúmenes de las imágenes compiladas, las ubicaciones de la fuente de entrada, la cadena de herramientas de compilación, los pasos de compilación y la duración de la compilación. También puedes validar la configuración procedencia en cualquier momento.

Para asegurarte de que tus próximas compilaciones incluyan información de procedencia, configura Cloud Build para exigir que tus imágenes tengan origen metadatos.

Usa Cloud Build con Software Delivery Shield

El panel lateral Estadísticas de seguridad de Cloud Build es un componente de la solución de Software Delivery Shield. Software Delivery Shield es una solución de seguridad de cadena de suministro de software de extremo a extremo y completamente administrada que te ayuda a mejorar la postura de seguridad de los flujos de trabajo y las herramientas de los desarrolladores, las dependencias de software, los sistemas de CI/CD que se usan para compilar e implementar tu software, y los entornos de ejecución, como Google Kubernetes Engine y Cloud Run.

Si deseas obtener información para usar Cloud Build con otros componentes de Software Delivery Shield para mejorar la postura de seguridad de la cadena de suministro de software, consulta Descripción general de Software Delivery Shield.

¿Qué sigue?