Ver estadísticas de seguridad de compilación

En esta página se explica cómo ver información de seguridad sobre tus compilaciones de Cloud Build mediante el panel lateral Información valiosa sobre la seguridad de la consola de Google Cloud .

El panel lateral Estadísticas de seguridad ofrece una vista general de varias métricas de seguridad. Puedes usar el panel lateral para identificar y mitigar los riesgos en tu proceso de compilación.

En este panel se muestra la siguiente información:

• Nivel de SLSA (Supply-chain Levels for Software Artifacts): identifica el nivel de madurez de tu proceso de compilación de software de acuerdo con la especificación de SLSA. Por ejemplo, esta compilación ha alcanzado el nivel 3 de SLSA.
• Vulnerabilidades: resumen de las vulnerabilidades encontradas en tus artefactos y el nombre de la imagen que ha analizado Artifact Analysis. Puede hacer clic en el nombre de la imagen para ver los detalles de la vulnerabilidad. Por ejemplo, en la captura de pantalla, puedes hacer clic en java-guestbook-backend.
• Estado de Vulnerability Exploitability eXchange(VEX) de los artefactos compilados.
• Lista de materiales de software (SBOM) de los artefactos de compilación.
• Detalles de la compilación: detalles de la compilación, como el compilador y el enlace para ver los registros.

Para saber cómo puedes usar Cloud Build con otros Google Cloud productos y funciones para mejorar el nivel de seguridad de tu cadena de suministro de software, consulta Seguridad de la cadena de suministro de software.

Habilitar análisis de vulnerabilidades

El panel Información valiosa sobre la seguridad muestra datos de Cloud Build y de Análisis de artefactos. Artifact Analysis es un servicio que analiza las vulnerabilidades de los paquetes de SO, Java (Maven) y Go cuando subes artefactos de compilación a Artifact Registry.

Debes habilitar el análisis de vulnerabilidades para recibir el conjunto completo de resultados de Información de seguridad.

1. Habilita la API Container Scanning para activar el análisis de vulnerabilidades.

   Habilitar la API Container Scanning

2. Ejecuta una compilación y almacena el artefacto de compilación en Artifact Registry. Artifact Analysis analiza automáticamente los artefactos de compilación.

El análisis de vulnerabilidades puede tardar unos minutos, en función del tamaño de tu compilación.

Para obtener más información sobre el análisis de vulnerabilidades, consulta Análisis automático.

El análisis tiene un coste. Consulta la página de precios para obtener información sobre los precios.

Concede permisos para ver estadísticas

Para ver Estadísticas de seguridad en la consola de Google Cloud , debes tener los siguientes roles de gestión de identidades y accesos o un rol con permisos equivalentes. Si Artifact Registry y Artifact Analysis se ejecutan en proyectos diferentes, debe añadir el rol Lector de ocurrencias de Container Analysis o permisos equivalentes en el proyecto en el que se ejecute Artifact Analysis.

• Lector de Cloud Build (roles/cloudbuild.builds.viewer): consulta estadísticas de una compilación.
• Lector de repeticiones de Container Analysis (roles/containeranalysis.occurrences.viewer): consulta las vulnerabilidades y otra información sobre las dependencias.

Ver el panel lateral Estadísticas de seguridad

Para ver el panel Estadísticas de seguridad, sigue estos pasos:

1. Abre la página Historial de compilaciones en la Google Cloud consola:

   Abre la página Historial de compilaciones.

2. Selecciona el proyecto y haz clic en Abrir.

3. En el menú desplegable Región, selecciona la región en la que has ejecutado la compilación.

4. En la tabla de compilaciones, busca la fila de la compilación de la que quieras ver las estadísticas de seguridad.

5. En la columna Estadísticas de seguridad, haga clic en Ver.

   Se abrirá el panel lateral Estadísticas de seguridad.

6. [Opcional] Si tu compilación genera varios artefactos, selecciona el artefacto del que quieras ver las estadísticas de seguridad en el cuadro desplegable Artefacto.

   

   Se muestra el panel Información de seguridad del artefacto seleccionado.

Nivel de SLSA

El nivel de SLSA califica el nivel de certeza de seguridad actual de tu compilación en función de una serie de directrices.

Vulnerabilidades

La tarjeta Vulnerabilidades muestra las incidencias de vulnerabilidades, las correcciones disponibles y el estado de VEX de los artefactos de compilación.

Artifact Analysis admite el análisis de imágenes de contenedor enviadas a Artifact Registry. Los análisis detectan vulnerabilidades en paquetes de sistemas operativos y en paquetes de aplicaciones creados en Java (Maven) o Go.

Los resultados del análisis se organizan por nivel de gravedad. El nivel de gravedad es una evaluación cualitativa basada en la capacidad de explotación, el alcance, el impacto y la antigüedad de la vulnerabilidad.

Haga clic en el nombre de la imagen para ver los artefactos que se han analizado en busca de vulnerabilidades.

Por cada imagen de contenedor que se envía a Artifact Registry, Artifact Analysis puede almacenar una declaración VEX asociada. VEX es un tipo de aviso de seguridad que indica si un producto se ve afectado por una vulnerabilidad conocida.

Cada declaración VEX proporciona lo siguiente:

• El editor de la declaración VEX
• El artefacto para el que se escribe la declaración.
• La evaluación de vulnerabilidades (estado de VEX) de las vulnerabilidades conocidas

Dependencias

La tarjeta Dependencias muestra una lista de SBOMs con una lista de dependencias.

Cuando compilas una imagen de contenedor con Cloud Build y la insertas en Artifact Registry, Artifact Analysis puede generar registros de lista de materiales de software para las imágenes insertadas.

Una lista de materiales de software es un inventario completo de una aplicación que identifica los paquetes en los que se basa tu software. El contenido puede incluir software de terceros de proveedores, artefactos internos y bibliotecas de código abierto.

Compilación

La tarjeta Compilación incluye la siguiente información:

• Registros: enlaces a la información del registro de compilación.
• Builder: nombre del creador
• Completado: tiempo transcurrido desde que se completó la compilación.
• Procedencia: metadatos verificables sobre una compilación

Los metadatos de procedencia incluyen detalles como los resúmenes de las imágenes compiladas, las ubicaciones de la fuente de entrada, la cadena de herramientas de compilación, los pasos de compilación y la duración de la compilación. También puedes validar la procedencia de la compilación en cualquier momento.

Para asegurarte de que tus compilaciones futuras incluyan información de procedencia, configura Cloud Build para requerir que tus imágenes tengan metadatos de procedencia.

Siguientes pasos

• Consulta información sobre la seguridad de la cadena de suministro de software.
• Consulta las prácticas recomendadas de seguridad de la cadena de suministro de software.
• Consulta cómo almacenar y ver registros de compilación.
• Consulta cómo solucionar errores de compilación.