Questa pagina spiega come visualizzare le informazioni sulla sicurezza delle build di Cloud Build mediante il riquadro laterale Approfondimenti sulla sicurezza nella console Google Cloud.
Il riquadro laterale Approfondimenti sulla sicurezza offre una panoramica generale di diverse metriche di sicurezza. Puoi utilizzare il riquadro laterale per identificare e mitigare i rischi nel processo di compilazione.
Questo riquadro mostra le seguenti informazioni:
- Livello della catena di fornitura per gli artefatti software (SLSA): identifica il livello di maturità del processo di compilazione del software in base alla specifica di SLSA. Ad esempio, questa build ha raggiunto il livello SLSA 3.
- Vulnerabilità: una panoramica delle vulnerabilità trovate negli artefatti e il nome dell'immagine analizzata da Artifact Analysis. Puoi fare clic sul nome dell'immagine per visualizzare i dettagli della vulnerabilità. Ad esempio, nello screenshot puoi fare clic su java-guestbook-backend.
- Stato Vulnerability Exploitability eXchange(VEX) per gli artefatti creati.
- Fattura software (SBOM) per gli artefatti della build.
- Dettagli build: dettagli della build, come il builder e il link per visualizzare i log.
Abilita scansione delle vulnerabilità
Il riquadro Approfondimenti sulla sicurezza mostra i dati di Cloud Build e di Artifact Analysis. Artifact Analysis è un servizio che analizza le vulnerabilità nei pacchetti del sistema operativo, Java (Maven) e Go quando carichi gli artefatti delle build in Artifact Registry.
Devi attivare l'analisi delle vulnerabilità per ricevere il set completo di risultati degli insight sulla sicurezza.
Abilita l'API Container Scanning per attivare l'analisi delle vulnerabilità.
Esegui una build e archivia l'artefatto della build in Artifact Registry. Artifact Analysis esegue automaticamente la scansione degli artefatti della build.
L'analisi delle vulnerabilità può richiedere alcuni minuti, a seconda delle dimensioni della build.
Per maggiori informazioni sull'analisi delle vulnerabilità, consulta Analisi automatica.
L'analisi prevede un costo. Consulta la pagina dei prezzi per informazioni sui prezzi.
Concedi le autorizzazioni per visualizzare gli approfondimenti
Per visualizzare gli insight sulla sicurezza nella console Google Cloud, devi avere i seguenti ruoli IAM o un ruolo con autorizzazioni equivalenti. Se Artifact Registry e Artifact Analysis sono in esecuzione in progetti diversi, devi aggiungere il ruolo Visualizzatore occorrenze di Container Analysis o autorizzazioni equivalenti nel progetto in cui è in esecuzione Artifact Analysis.
- Visualizzatore Cloud Build
(
roles/cloudbuild.builds.viewer): visualizza gli insight per una build. - Visualizzatore occorrenze di Container Analysis (
roles/containeranalysis.occurrences.viewer): visualizza le vulnerabilità e altre informazioni sulle dipendenze.
Visualizzare il riquadro laterale Insight sulla sicurezza
Per visualizzare il riquadro Approfondimenti sulla sicurezza:
Apri la pagina Cronologia build nella console Google Cloud:
Seleziona il progetto e fai clic su Apri.
Nel menu a discesa Regione, seleziona la regione in cui hai eseguito la build.
Nella tabella con le build, individua la riga con la build per cui vuoi visualizzare gli insight sulla sicurezza.
Nella colonna Approfondimenti sulla sicurezza, fai clic su Visualizza.
Si apre il riquadro laterale Approfondimenti sulla sicurezza.
[Facoltativo] Se la tua build produce più artefatti, seleziona quello per cui vuoi visualizzare gli insight sulla sicurezza dalla casella a discesa Artefatto.
Viene visualizzato il riquadro Approfondimenti sulla sicurezza per l'elemento selezionato.
Livello SLSA
Il livello SLSA valuta l'attuale livello di garanzia di sicurezza della tua build in base a una serie di linee guida.
Vulnerabilità
Nella scheda Vulnerabilità vengono visualizzate le occorrenze di vulnerabilità, le correzioni disponibili e lo stato VEX per gli artefatti della build.
Artifact Analysis supporta l'analisi delle immagini container di cui viene eseguito il push su Artifact Registry. Le analisi rilevano le vulnerabilità nei pacchetti del sistema operativo e nei pacchetti di applicazioni creati in Java (Maven) o Go.
I risultati dell'analisi sono organizzati per livello di gravità. Il livello di gravità è una valutazione qualitativa basata su sfruttabilità, ambito, impatto e maturità della vulnerabilità.
Fai clic sul nome dell'immagine per visualizzare gli artefatti analizzati per rilevare eventuali vulnerabilità.
Per ogni immagine container di cui viene eseguito il push su Artifact Registry, Artifact Analysis può archiviare un'istruzione VEX associata. VEX è un tipo di avviso per la sicurezza che indica se un prodotto è interessato da una vulnerabilità nota.
Ogni istruzione VEX fornisce:
- Il publisher della dichiarazione VEX
- L'elemento per il quale è scritta l'istruzione.
- La valutazione delle vulnerabilità (stato VEX) per eventuali vulnerabilità note
Dipendenze
La scheda Dipendenze mostra un elenco di SBOM con un elenco di dipendenze.
Quando crei un'immagine container utilizzando Cloud Build e ne esegui il push su Artifact Registry, Artifact Analysis può generare record SBOM per le immagini di cui è stato eseguito il push.
Un SBOM è l'inventario completo di un'applicazione, che identifica i pacchetti su cui si basa il software. I contenuti possono includere software di terze parti di fornitori, artefatti interni e librerie open source.
Build
La scheda Build include le seguenti informazioni:
- Log: link alle informazioni dei log di build
- Builder: nome del builder
- Completata: il tempo trascorso dal completamento della build.
- Prova: metadati verificabili relativi a una build
I metadati di provenienza includono dettagli come i digest delle immagini create, le posizioni di origine di input, la toolchain di build, i passaggi di build e la durata della build. Puoi anche convalidare la prova della build in qualsiasi momento.
Per assicurarti che le build future includano informazioni sulla provenienza, configura Cloud Build in modo da richiedere che le immagini abbiano metadati di provenienza.
Utilizza Cloud Build con Software Delivery Shield
Il riquadro laterale Approfondimenti sulla sicurezza in Cloud Build è un componente della soluzione Software Delivery Shield. Software Delivery Shield è una soluzione end-to-end completamente gestita per la sicurezza della catena di fornitura del software che consente di migliorare la strategia di sicurezza di strumenti e flussi di lavoro degli sviluppatori, dipendenze software, sistemi CI/CD utilizzati per creare ed eseguire il deployment del software e ambienti di runtime come Google Kubernetes Engine e Cloud Run.
Per scoprire come utilizzare Cloud Build con altri componenti di Software Delivery Shield per migliorare la strategia di sicurezza della catena di fornitura del software, consulta la panoramica di Software Delivery Shield.
Passaggi successivi
- Scopri come utilizzare Software Delivery Shield.
- Scopri le best practice per la sicurezza della catena di fornitura del software.
- Scopri come archiviare e visualizzare i log di build.
- Scopri come risolvere gli errori di generazione.