Build-Sicherheitsstatistiken ansehen

Auf dieser Seite wird erläutert, wie Sie Sicherheitsinformationen zu Ihren Cloud Build-Builds über die Seitenleiste Sicherheitsinformationen in der Google Cloud Console aufrufen.

Die Seitenleiste Sicherheitsinformationen bietet einen allgemeinen Überblick über mehrere Sicherheitsmesswerte. Sie können die Seitenleiste verwenden, um Risiken in Ihrem Build-Prozess zu identifizieren und zu mindern.

Screenshot des Bereichs „Sicherheitsinformationen“

In diesem Bereich werden die folgenden Informationen angezeigt:

  • Supply-Chain-Levels for Software Artifacts (SLSA): Gibt die Reife Ihres Software-Build-Prozesses gemäß der SLSA-Spezifikation an. Mit diesem Build wurde beispielsweise das SLSA-Level 3 erreicht.
  • Sicherheitslücken: Eine Übersicht über alle Sicherheitslücken, die in Ihren Artefakten gefunden wurden, sowie den Namen des Images, das von der Artefakteanalyse gescannt wurde. Sie können auf den Image-Namen klicken, um Details zu Sicherheitslücken aufzurufen. Im Screenshot können Sie beispielsweise auf java-guestbook-backend klicken.
  • Vulnerability Exploitability eXchange-Status(VEX) für die erstellten Artefakte.
  • Software Stückliste (Software Bill of Material, SBOM) für die Build-Artefakte.
  • Build-Details: Details des Builds, z. B. der Builder und der Link zum Anzeigen von Logs.

Scannen nach Sicherheitslücken aktivieren

Im Bereich Sicherheitsinformationen werden Daten aus Cloud Build und der Artefaktanalyse angezeigt. Die Artefaktanalyse ist ein Dienst, der beim Hochladen von Build-Artefakten in Artifact Registry nach Sicherheitslücken in Betriebssystem-, Java- (Maven) und Go-Paketen sucht.

Sie müssen das Scannen auf Sicherheitslücken aktivieren, um alle Ergebnisse von Sicherheitsinformationen zu erhalten.

  1. Aktivieren Sie die Container Scanning API, um das Scannen auf Sicherheitslücken zu aktivieren.

    Container Scanning API aktivieren

  2. Führen Sie einen Build aus und speichern Sie das Build-Artefakt in Artifact Registry. Die Artefaktanalyse scannt automatisch die Build-Artefakte.

Das Scannen auf Sicherheitslücken kann je nach Größe des Builds einige Minuten dauern.

Weitere Informationen zum Scannen auf Sicherheitslücken finden Sie unter Automatisches Scannen.

Für das Scannen fallen Kosten an. Preisinformationen finden Sie auf der Preisseite.

Berechtigungen zum Ansehen von Statistiken gewähren

Zum Ansehen von Sicherheitsinformationen in der Google Cloud Console benötigen Sie die folgenden IAM-Rollen oder eine Rolle mit entsprechenden Berechtigungen. Wenn Artifact Registry und Artifact Analysis in verschiedenen Projekten ausgeführt wird, müssen Sie dem Projekt, in dem die Artefaktanalyse ausgeführt wird, die Rolle „Betrachter von Container Analysis-Ereignissen“ oder entsprechende Berechtigungen hinzufügen.

Seitenleiste „Sicherheitsinformationen“ aufrufen

So rufen Sie den Bereich Sicherheitsinformationen auf:

  1. Öffnen Sie in der Google Cloud Console die Seite Build-Verlauf:

    Zur Seite "Build-Verlauf"

  2. Wählen Sie Ihr Projekt aus und klicken Sie auf Öffnen.

  3. Wählen Sie im Drop-down-Menü Region die Region aus, in der Sie den Build ausgeführt haben.

  4. Suchen Sie in der Tabelle mit den Builds die Zeile mit dem Build, für den Sie Sicherheitsinformationen aufrufen möchten.

  5. Klicken Sie in der Spalte Sicherheitsinformationen auf Ansehen.

    Die Seitenleiste Sicherheitsinformationen wird geöffnet.

  6. [Optional] Wenn Ihr Build mehrere Artefakte erzeugt, wählen Sie im Drop-down-Menü Artefakt das Artefakt aus, für das Sie Sicherheitsinformationen anzeigen möchten.

    Screenshot des Bereichs „Sicherheitsinformationen“ für Builds mit mehreren Containern

    Dadurch wird der Bereich Sicherheitsinformationen für das ausgewählte Artefakt angezeigt.

SLSA-Ebene

Auf der SLSA-Ebene wird das aktuelle Sicherheitsniveau Ihres Builds anhand einer Reihe von Richtlinien bewertet.

Sicherheitslücken

Auf der Karte Vulnerabilities (Sicherheitslücken) werden die Vorkommen von Sicherheitslücken, die verfügbaren Fehlerkorrekturen und der VEX-Status für die Build-Artefakte angezeigt.

Die Artefaktanalyse unterstützt das Scannen von Container-Images, die an Artifact Registry übertragen wurden. Dabei werden Sicherheitslücken in Betriebssystempaketen und in Anwendungspaketen erkannt, die in Java (Maven) oder Go erstellt wurden.

Die Scanergebnisse sind nach Schweregrad organisiert. Der Schweregrad ist eine qualitative Bewertung basierend auf Ausnutzbarkeit, Umfang, Auswirkung und Reife der Sicherheitslücke.

Klicken Sie auf den Image-Namen, um die Artefakte zu sehen, die auf Sicherheitslücken gescannt wurden.

Für jedes an Artifact Registry übertragene Container-Image kann die Artefaktanalyse eine zugehörige VEX-Anweisung speichern. VEX ist eine Art Sicherheitshinweis, der angibt, ob ein Produkt von einer bekannten Sicherheitslücke betroffen ist.

Jede VEX-Anweisung enthält Folgendes:

  • Der Herausgeber der VEX-Erklärung
  • Das Artefakt, für das die Anweisung geschrieben wird
  • Die Bewertung von Sicherheitslücken (VEX-Status) für alle bekannten Sicherheitslücken

Abhängigkeiten

Die Karte Abhängigkeiten enthält eine Liste von SBOMs mit einer Liste von Abhängigkeiten.

Wenn Sie ein Container-Image mit Cloud Build erstellen und in Artifact Registry übertragen, kann die Artefaktanalyse SBOM-Einträge für die übertragenen Images generieren.

Ein SBOM ist ein vollständiges Inventar einer Anwendung, das die Pakete identifiziert, von denen Ihre Software abhängig ist. Die Inhalte können Drittanbieter-Software von Anbietern, interne Artefakte und Open-Source-Bibliotheken umfassen.

Erstellen

Die Build-Karte enthält die folgenden Informationen:

  • Logs: Links zu Ihren Build-Loginformationen
  • Builder – Builder-Name
  • Abgeschlossen – Zeit, die seit dem Abschluss des Builds verstrichen ist
  • Herkunft – überprüfbare Metadaten zu einem Build

Provenance-Metadaten enthalten Details wie die Digests der erstellten Images, die Speicherorte der Eingabequellen, die Build-Toolchain, Build-Schritte und die Build-Dauer. Sie können auch jederzeit die Build-Herkunft prüfen.

Damit Ihre zukünftigen Builds Informationen zur Herkunft enthalten, konfigurieren Sie Cloud Build so, dass Ihre Images Herkunftsmetadaten haben müssen.

Cloud Build mit Software Delivery Shield verwenden

Die Seitenleiste Sicherheitsinformationen in Cloud Build ist eine Komponente der Software Delivery Shield-Lösung. Software Delivery Shield ist eine vollständig verwaltete End-to-End-Lösung für die Sicherheit der Softwarelieferkette, mit der Sie den Sicherheitsstatus von Workflows und Tools für Entwickler, Softwareabhängigkeiten, CI/CD-Systeme zum Erstellen und Bereitstellen Ihrer Software sowie von Laufzeitumgebungen wie Google Kubernetes Engine und Cloud Run verbessern können.

Informationen dazu, wie Sie Cloud Build zusammen mit anderen Komponenten von Software Delivery Shield verwenden können, um den Sicherheitsstatus Ihrer Softwarelieferkette zu verbessern, finden Sie unter Software Delivery Shield – Übersicht.

Nächste Schritte