Ver estadísticas de seguridad de compilación

En esta página, se explica cómo ver información de seguridad sobre tus compilaciones de Cloud Build mediante el panel lateral Estadísticas de seguridad de la consola de Google Cloud.

El panel lateral Estadísticas de seguridad proporciona una descripción general de alto nivel de varias métricas de seguridad. Puedes usar el panel lateral para identificar y mitigar los riesgos en tu proceso de compilación.

En este panel, se muestra la siguiente información:

• Niveles de cadena de suministro para artefactos de software (SLSA): Identifica el nivel de madurez de tu proceso de compilación de software de acuerdo con la especificación de SLSA. Por ejemplo, esta compilación alcanzó el nivel 3 de SLSA.
• Vulnerabilidades: Una descripción general de las vulnerabilidades encontradas en tus artefactos y el nombre de la imagen que Artifact Analysis analizó. Puedes hacer clic en el nombre de la imagen para ver los detalles de la vulnerabilidad. Por ejemplo, en la captura de pantalla, puedes hacer clic en java-guestbook-backend.
• Estado de Vulnerability Exploitability eXchange(VEX) para los artefactos compilados.
• La lista de materiales de software (SBOM) para los artefactos de compilación.
• Detalles de compilación: Detalles de la compilación, como el compilador y el vínculo para ver los registros

Habilitar el análisis de vulnerabilidades

En el panel Estadísticas de seguridad, se muestran los datos de Cloud Build y de Artifact Analysis. Artifact Analysis es un servicio que busca vulnerabilidades en los paquetes de SO, Java (Maven) y Go cuando subes artefactos de compilación a Artifact Registry.

Debes habilitar el análisis de vulnerabilidades para recibir el conjunto completo de resultados de las Estadísticas de seguridad.

1. Habilita la API de Container Scanning para activar el análisis de vulnerabilidades.

   Habilitar la API de Container Scanning

2. Ejecuta una compilación y almacena tu artefacto de compilación en Artifact Registry. Artifact Analysis analiza automáticamente los artefactos de compilación.

El análisis de vulnerabilidades puede tardar unos minutos, según el tamaño de tu compilación.

Para obtener más información sobre el análisis de vulnerabilidades, consulta Análisis automático.

El análisis tiene un costo. Consulta la página de precios para obtener información sobre los precios.

Otorga permisos para ver las estadísticas

Para ver las Estadísticas de seguridad en la consola de Google Cloud, debes tener los siguientes roles de IAM o un rol con permisos equivalentes. Si Artifact Registry y Artifact Analysis se ejecutan en proyectos diferentes, debes agregar la función de visualizador de casos de Container Analysis o permisos equivalentes en el proyecto en el que se ejecuta Artifact Analysis.

• Visualizador de Cloud Build (roles/cloudbuild.builds.viewer): Consulta las estadísticas de una compilación.
• Visualizador de casos de Container Analysis (roles/containeranalysis.occurrences.viewer): Consulta las vulnerabilidades y otra información de la dependencia.

Consulta el panel lateral Estadísticas de seguridad

Para ver el panel Estadísticas de seguridad, sigue estos pasos:

1. Abre la página Historial de compilaciones en la consola de Google Cloud:

   Abrir la página Historial de compilación

2. Selecciona tu proyecto y haz clic en Open.

3. En el menú desplegable Región, selecciona la región en la que ejecutaste tu compilación.

4. En la tabla con las compilaciones, ubica la fila con la compilación para la que deseas ver las estadísticas de seguridad.

5. En la columna Estadísticas de seguridad, haz clic en Ver.

   Se abrirá el panel lateral Estadísticas de seguridad.

6. [Opcional] Si tu compilación produce varios artefactos, selecciona el artefacto para el que deseas ver las estadísticas de seguridad en el cuadro desplegable Artefacto.

   

   Se mostrará el panel Estadísticas de seguridad del artefacto seleccionado.

Nivel de SLSA

El nivel SLSA califica el nivel de garantía de seguridad actual de tu compilación en función de una colección de lineamientos.

Vulnerabilidades

En la tarjeta Vulnerabilidades, se muestran los casos de vulnerabilidades, las correcciones disponibles y el estado de VEX para los artefactos de compilación.

Artifact Analysis admite el análisis de imágenes de contenedores enviadas a Artifact Registry. Los análisis detectan vulnerabilidades en los paquetes del sistema operativo y en los paquetes de aplicaciones creados en Java (Maven) o Go.

Los resultados del análisis se organizan por nivel de gravedad. El nivel de gravedad es una evaluación cualitativa basada en la capacidad de explotación, el alcance, el impacto y la madurez de la vulnerabilidad.

Haz clic en el nombre de la imagen para ver los artefactos que se analizaron en busca de vulnerabilidades.

Por cada imagen de contenedor que se envía a Artifact Registry, Artifact Analysis puede almacenar una declaración de VEX asociada. VEX es un tipo de aviso de seguridad que indica si un producto se ve afectado por una vulnerabilidad conocida.

Cada instrucción VEX proporciona lo siguiente:

• El publicador de la declaración VEX
• El artefacto para el que está escrita la instrucción
• La evaluación de vulnerabilidades (estado de VEX) de cualquier vulnerabilidad conocida

Dependencias

En la tarjeta Dependencies, se muestra una lista de las SBOM con una lista de dependencias.

Cuando compilas una imagen de contenedor con Cloud Build y la envías a Artifact Registry, Artifact Analysis puede generar registros SBOM para las imágenes enviadas.

Una SBOM es un inventario completo de una aplicación que identifica los paquetes en los que se basa tu software. El contenido puede incluir software de terceros de proveedores, artefactos internos y bibliotecas de código abierto.

Desarrollo

La tarjeta Compilación incluye la siguiente información:

• Registros: vínculos a la información de registro de tu compilación
• Builder: nombre del compilador.
• Completed: Tiempo transcurrido desde que se completó la compilación
• Procedencia: Metadatos verificables de una compilación.

Los metadatos de procedencia incluyen detalles como los resúmenes de las imágenes compiladas, las ubicaciones de las fuentes de entrada, la cadena de herramientas de compilación, los pasos de compilación y la duración de la compilación. También puedes validar la procedencia de la compilación en cualquier momento.

Para asegurarte de que tus compilaciones futuras incluyan información de procedencia, configura Cloud Build para exigir que tus imágenes tengan metadatos de procedencia.

Usa Cloud Build con Software Delivery Shield

El panel lateral Estadísticas de seguridad en Cloud Build es un componente de la solución Software Delivery Shield. Software Delivery Shield es una solución de seguridad de la cadena de suministro de software de extremo a extremo completamente administrada que te ayuda a mejorar la postura de seguridad de las herramientas y los flujos de trabajo de los desarrolladores, las dependencias de software, los sistemas de CI/CD utilizados para compilar e implementar tu software, y los entornos de ejecución como Google Kubernetes Engine y Cloud Run.

Si deseas obtener información sobre cómo puedes usar Cloud Build con otros componentes de Software Delivery Shield para mejorar la postura de seguridad de tu cadena de suministro de software, consulta Descripción general de Software Delivery Shield.

¿Qué sigue?

• Obtén información sobre cómo usar Software Delivery Shield.
• Conoce las prácticas recomendadas de seguridad de la cadena de suministro de software.
• Obtén más información sobre cómo almacenar y ver registros de compilación.
• Obtén más información para solucionar errores de compilación.