Cette page a été traduite par l'API Cloud Translation.

Afficher les insights sur la sécurité des builds

Cette page explique comment afficher les informations de sécurité concernant vos compilations Cloud Build à l'aide du panneau latéral Insights sur la sécurité de la console Google Cloud.

Le panneau latéral Security Insights (Insights sur la sécurité) offre une vue d'ensemble de plusieurs métriques de sécurité. Vous pouvez utiliser le panneau latéral pour identifier et atténuer les risques liés à votre processus de compilation.

Capture d'écran du panneau "Insights sur la sécurité"

Ce panneau affiche les informations suivantes:

Niveaux de la chaîne d'approvisionnement pour les artefacts logiciels (SLSA): identifie le niveau de maturité de votre processus de compilation logiciel conformément à la spécification SLSA. Par exemple, ce build a atteint le niveau 3 du programme SLSA.
Failles: aperçu des failles détectées dans vos artefacts et nom de l'image analysée par Artifact Analysis. Vous pouvez cliquer sur le nom de l'image pour afficher les détails des failles. Par exemple, dans la capture d'écran, vous pouvez cliquer sur java-guestbook-backend.
État de Vulnerability Exploitability eXchange(VEX) pour les artefacts compilés.
Nomenclature logicielle (SBOM) pour les artefacts de compilation
Informations sur la compilation: informations sur la compilation, telles que le compilateur et le lien pour afficher les journaux.

Activer l'analyse des failles

Le panneau Insights sur la sécurité affiche les données de Cloud Build et d'Artifact Analysis. Artifact Analysis est un service qui recherche les failles dans les packages OS, Java (Maven) et Go lorsque vous importez des artefacts de compilation dans Artifact Registry.

Vous devez activer l'analyse des failles pour recevoir l'ensemble des résultats des insights sur la sécurité.

Activez l'API Container Scanning pour activer l'analyse des failles.

Activer l'API Container Scanning
Exécutez une compilation et stockez votre artefact de compilation dans Artifact Registry. Artifact Analysis analyse automatiquement les artefacts de compilation.

L'analyse des failles peut prendre quelques minutes en fonction de la taille de votre build.

Pour en savoir plus sur l'analyse des failles, consultez la section Analyse automatique.

L'analyse entraîne des frais. Pour en savoir plus sur les tarifs, consultez la page Tarifs.

Accorder des autorisations pour afficher les insights

Pour afficher les insights sur la sécurité dans la console Google Cloud, vous devez disposer des rôles IAM suivants ou d'un rôle doté d'autorisations équivalentes. Si Artifact Registry et Artifact Analysis s'exécutent dans des projets différents, vous devez ajouter le rôle Lecteur d'occurrences Container Analysis ou des autorisations équivalentes dans le projet où Artifact Analysis est exécuté.

Lecteur Cloud Build (roles/cloudbuild.builds.viewer): affiche les insights d'une compilation.
Lecteur d'occurrences d'analyse de conteneurs (roles/containeranalysis.occurrences.viewer): affichez les failles et d'autres informations sur les dépendances.

Afficher le panneau latéral des insights sur la sécurité

Pour afficher le panneau Insights sur la sécurité:

Ouvrez la page Historique de compilation dans la console Google Cloud:

Ouvrir la page Historique de compilation
Sélectionnez votre projet et cliquez sur Ouvrir.
Dans le menu déroulant Région, sélectionnez la région dans laquelle vous avez exécuté votre compilation.
Dans le tableau contenant les compilations, localisez la ligne contenant la compilation pour laquelle vous souhaitez afficher les insights sur la sécurité.
Dans la colonne Insights sur la sécurité, cliquez sur Afficher.

Le panneau latéral Informations sur la sécurité s'ouvre.
[Facultatif] Si votre compilation produit plusieurs artefacts, sélectionnez celui pour lequel vous souhaitez afficher les insights sur la sécurité dans la boîte déroulante Artefact.

Le panneau Insights sur la sécurité de l'artefact sélectionné s'affiche.

Niveau SLSA

Le niveau SLSA évalue le niveau d'assurance de sécurité actuel de votre build en se basant sur un ensemble de consignes.

Failles

La fiche Failles affiche les occurrences de failles, les correctifs disponibles et l'état VEX des artefacts de compilation.

Artifact Analysis permet d'analyser les images de conteneurs transférées vers Artifact Registry. Les analyses détectent les failles dans les packages de système d'exploitation et dans les packages d'applications créés en Java (Maven) ou Go.

Les résultats de l'analyse sont organisés par niveau de gravité. Le niveau de gravité est une évaluation qualitative basée sur l'exploitabilité, la portée, l'impact et la maturité de la faille.

Cliquez sur le nom de l'image pour afficher les artefacts qui ont été analysés pour rechercher des failles.

Pour chaque image de conteneur transférée vers Artifact Registry, Artifact Analysis peut stocker une instruction VEX associée. VEX est un type d'avis de sécurité qui indique si un produit est affecté par une faille connue.

Chaque instruction VEX fournit:

Éditeur du relevé VEX
Artefact pour lequel l'instruction est écrite
L’évaluation des vulnérabilités (état VEX) pour toutes les vulnérabilités connues

Dépendances

La fiche Dépendances présente une liste de SBOM avec une liste de dépendances.

Lorsque vous créez une image de conteneur à l'aide de Cloud Build et que vous la transférez vers Artifact Registry, Artifact Analysis peut générer des enregistrements SBOM pour les images transférées.

Un SBOM est un inventaire complet d'une application, qui identifie les packages sur lesquels repose votre logiciel. Le contenu peut inclure des logiciels tiers de fournisseurs, des artefacts internes et des bibliothèques Open Source.

Création

La fiche "Build" (Compiler) comprend les informations suivantes:

Journaux : liens vers les informations de vos journaux de compilation
Builder : nom du compilateur
Terminé : temps écoulé depuis la fin de la compilation
Provenance : métadonnées vérifiables concernant une compilation.

Les métadonnées de provenance incluent des détails tels que les condensés des images compilées, les emplacements des sources d'entrée, la chaîne d'outils de compilation, les étapes et la durée de la compilation. Vous pouvez également valider la validation de la compilation à tout moment.

Pour vous assurer que vos futures compilations incluent des informations de provenance, configurez Cloud Build de manière à exiger que vos images comportent des métadonnées de provenance.

Utiliser Cloud Build avec Software Delivery Shield

Le panneau latéral Insights sur la sécurité dans Cloud Build est un composant de la solution Software Delivery Shield. Software Delivery Shield est une solution de sécurité de bout en bout pour la chaîne d'approvisionnement logicielle entièrement gérée. Elle vous aide à améliorer la sécurité des workflows et des outils des développeurs, des dépendances logicielles, des systèmes CI/CD utilisés pour créer et déployer vos logiciels, ainsi que des environnements d'exécution tels que Google Kubernetes Engine et Cloud Run.

Pour savoir comment utiliser Cloud Build avec d'autres composants de Software Delivery Shield pour améliorer la stratégie de sécurité de votre chaîne d'approvisionnement logicielle, consultez la présentation de Software Delivery Shield.

Étapes suivantes

En savoir plus sur l'utilisation de Software Delivery Shield
Découvrez les bonnes pratiques concernant la sécurité sur la chaîne d'approvisionnement logicielle.
Découvrez comment stocker et afficher les journaux de compilation.
Découvrez comment résoudre les erreurs de compilation.