Build-Sicherheitsstatistiken ansehen

Auf dieser Seite wird erläutert, wie Sie in der Seitenleiste Sicherheitsinformationen in der Google Cloud Console Sicherheitsinformationen zu Ihren Cloud Build-Builds aufrufen können.

Die Seitenleiste Sicherheitsinformationen bietet einen allgemeinen Überblick über mehrere Sicherheitsmesswerte. Sie können die Seitenleiste verwenden, um Risiken in Ihrem Build-Prozess zu identifizieren und zu mindern.

In diesem Bereich werden die folgenden Informationen angezeigt:

• Supply-Chain Levels for Software Artifacts (SLSA): Gibt den Reifegrad Ihres Software-Build-Prozesses gemäß der SLSA-Spezifikation an. Dieser Build hat beispielsweise das SLSA-Level 3 erreicht.
• Sicherheitslücken: Eine Übersicht über alle Sicherheitslücken, die in Ihren Artefakten gefunden wurden, und der Name des Images, das von der Artefaktanalyse gescannt wurde. Sie können auf den Image-Namen klicken, um Details zu Sicherheitslücken aufzurufen. Im Screenshot können Sie beispielsweise auf java-guestbook-backend klicken.
• Vulnerability Exploitability eXchange-Status(VEX) für die erstellten Artefakte.
• Software-Materialliste (SBOM) für die Build-Artefakte.
• Build-Details: Details zum Build, z. B. der Builder und der Link zum Ansehen von Logs.

Scannen nach Sicherheitslücken aktivieren

Im Bereich Sicherheitsinformationen werden Daten aus Cloud Build und aus der Artefaktanalyse angezeigt. Die Artefaktanalyse ist ein Dienst, der beim Hochladen von Build-Artefakten in Artifact Registry nach Sicherheitslücken in Betriebssystem-, Java- (Maven) und Go-Paketen sucht.

Sie müssen das Scannen auf Sicherheitslücken aktivieren, um alle Ergebnisse der Sicherheitsinformationen zu erhalten.

1. Aktivieren Sie die Container Scanning API, um das Scannen auf Sicherheitslücken zu aktivieren.

   Container Scanning API aktivieren

2. Build ausführen und Build-Artefakt in Artifact Registry speichern. Die Build-Artefakte werden von der Artefaktanalyse automatisch gescannt.

Das Scannen auf Sicherheitslücken kann je nach Größe des Builds einige Minuten dauern.

Weitere Informationen zum Scannen auf Sicherheitslücken finden Sie unter Automatisches Scannen.

Für das Scannen fallen Kosten an. Preisinformationen finden Sie auf der Preisseite.

Berechtigungen zum Ansehen von Statistiken gewähren

Zum Ansehen von Sicherheitsinformationen in der Google Cloud Console benötigen Sie die folgenden IAM-Rollen oder eine Rolle mit entsprechenden Berechtigungen. Wenn Artifact Registry und Artifact Analysis in verschiedenen Projekten ausgeführt werden, müssen Sie die Rolle „Betrachter von Container Analysis-Vorkommen“ oder entsprechende Berechtigungen in dem Projekt hinzufügen, in dem die Artefaktanalyse ausgeführt wird.

• Cloud Build-Betrachter (roles/cloudbuild.builds.viewer): Sehen Sie sich Statistiken für einen Build an.
• Betrachter von Container Analysis-Vorkommen (roles/containeranalysis.occurrences.viewer): Sehen Sie sich Sicherheitslücken und andere Abhängigkeitsinformationen an.

Seitenleiste „Sicherheitsinformationen“ aufrufen

So rufen Sie den Bereich Sicherheitsinformationen auf:

1. Öffnen Sie in der Google Cloud Console die Seite Build-Verlauf:

   Zur Seite "Build-Verlauf"

2. Wählen Sie Ihr Projekt aus und klicken Sie auf Öffnen.

3. Wählen Sie im Drop-down-Menü Region die Region aus, in der Sie den Build ausgeführt haben.

4. Suchen Sie in der Tabelle mit den Builds die Zeile mit dem Build, für den Sie Sicherheitsinformationen ansehen möchten.

5. Klicken Sie in der Spalte Sicherheitsinformationen auf Ansehen.

   Die Seitenleiste Sicherheitsinformationen wird geöffnet.

6. [Optional] Wenn Ihr Build mehrere Artefakte erzeugt, wählen Sie im Drop-down-Menü Artefakt das Artefakt aus, für das Sie Sicherheitsinformationen ansehen möchten.

   

   Daraufhin wird der Bereich Sicherheitsinformationen für das ausgewählte Artefakt angezeigt.

SLSA-Ebene

Auf der SLSA-Ebene wird das aktuelle Sicherheitsniveau Ihres Builds anhand verschiedener Richtlinien bewertet.

Sicherheitslücken

Auf der Karte Vulnerabilities (Sicherheitslücken) werden das Vorkommen von Sicherheitslücken, die verfügbaren Korrekturen und den VEX-Status für die Build-Artefakte angezeigt.

Die Artefaktanalyse unterstützt das Scannen von Container-Images, die per Push-Befehl an Artifact Registry übertragen wurden. Dabei werden Sicherheitslücken in Betriebssystempaketen und in in Java (Maven) oder Go erstellten Anwendungspaketen erkannt.

Die Scanergebnisse sind nach Schweregrad sortiert. Der Schweregrad ist eine qualitative Bewertung basierend auf der Ausnutzbarkeit, dem Umfang, der Auswirkung und dem Reifegrad der Sicherheitslücke.

Klicken Sie auf den Image-Namen, um die Artefakte aufzurufen, die auf Sicherheitslücken gescannt wurden.

Für jedes an Artifact Registry übertragene Container-Image kann die Artefaktanalyse eine zugehörige VEX-Anweisung speichern. VEX ist eine Art Sicherheitswarnung, die angibt, ob ein Produkt von einer bekannten Sicherheitslücke betroffen ist.

Jede VEX-Anweisung enthält Folgendes:

• Der Herausgeber der VEX-Erklärung
• Das Artefakt, für das die Anweisung geschrieben wird
• Bewertung der Sicherheitslücken (VEX-Status) für alle bekannten Sicherheitslücken

Abhängigkeiten

Auf der Karte Abhängigkeiten wird eine Liste von SBOMs mit einer Liste von Abhängigkeiten angezeigt.

Wenn Sie ein Container-Image mit Cloud Build erstellen und per Push in Artifact Registry übertragen, kann die Artefaktanalyse SBOM-Einträge für die übertragenen Images generieren.

Ein SBOM ist ein vollständiges Inventar einer Anwendung, das die Pakete identifiziert, auf die sich Ihre Software verlässt. Der Inhalt kann Drittanbietersoftware von Anbietern, interne Artefakte und Open-Source-Bibliotheken umfassen.

Erstellen

Die Karte „Build“ enthält die folgenden Informationen:

• Logs – Links zu den Informationen des Build-Logs
• Builder – Builder-Name
• Completed (Abgeschlossen): Seit Abschluss des Builds verstrichene Zeit
• Herkunft: überprüfbare Metadaten zu einem Build

Herkunftsmetadaten enthalten Details wie die Digests der erstellten Images, die Speicherorte der Eingabequellen, die Build-Toolchain, Build-Schritte und die Build-Dauer. Sie können auch jederzeit die Build-Herkunft prüfen.

Damit Ihre zukünftigen Builds Informationen zur Herkunft enthalten, konfigurieren Sie Cloud Build so, dass Ihre Images über Herkunftsmetadaten verfügen müssen.

Cloud Build mit Software Delivery Shield verwenden

Die Seitenleiste Sicherheitsinformationen in Cloud Build ist eine Komponente der Software Delivery Shield-Lösung. Software Delivery Shield ist eine vollständig verwaltete End-to-End-Sicherheitslösung für die Softwarelieferkette, mit der Sie den Sicherheitsstatus von Entwicklerworkflows und -tools, Softwareabhängigkeiten, CI/CD-Systemen zum Erstellen und Bereitstellen Ihrer Software sowie von Laufzeitumgebungen wie Google Kubernetes Engine und Cloud Run verbessern können.

Unter Software Delivery Shield – Übersicht erfahren Sie, wie Sie Cloud Build mit anderen Komponenten von Software Delivery Shield verwenden können, um den Sicherheitsstatus Ihrer Softwarelieferkette zu verbessern.

Nächste Schritte

• Software Delivery Shield verwenden
• Best Practices für die Sicherheit der Softwarelieferkette
• Build-Logs speichern und aufrufen
• Build-Fehler beheben