Cette page a été traduite par l'API Cloud Translation.

Afficher les insights sur la sécurité des compilations

Cette page explique comment afficher les informations de sécurité de vos compilations Cloud Build à l'aide du panneau latéral Informations sur la sécurité de la console Google Cloud.

Le panneau latéral Informations sur la sécurité offre une vue d'ensemble de plusieurs métriques de sécurité. Vous pouvez utiliser le panneau latéral pour identifier et atténuer les risques dans votre processus de compilation.

Capture d'écran du panneau "Informations sur la sécurité"

Ce panneau affiche les informations suivantes:

Supply-Chain Levels for Software Artifacts (SLSA) Level (Niveaux de la chaîne d'approvisionnement pour les artefacts logiciels) : identifie le niveau de maturité de votre processus de compilation logiciel, conformément à la spécification SLSA. Par exemple, cette compilation a atteint le niveau SLSA de niveau 3.
Failles: vue d'ensemble des failles détectées dans vos artefacts et nom de l'image analysée par Artifact Analysis. Vous pouvez cliquer sur le nom de l'image pour afficher les détails de la faille. Par exemple, dans la capture d'écran, vous pouvez cliquer sur java-guestbook-backend.
État VEX(Vulnerability Exploitability eXchange) pour les artefacts compilés.
Nomenclature logicielle (SBOM) pour les artefacts de compilation.
Informations sur la compilation: informations sur la compilation, telles que le compilateur et le lien pour afficher les journaux.

Activer l'analyse des failles

Le panneau Security insights (Insights sur la sécurité) affiche les données de Cloud Build et d'Artifact Analysis. Artifact Analysis est un service qui recherche les failles des packages d'OS, Java (Maven) et Go lorsque vous importez des artefacts de compilation dans Artifact Registry.

Vous devez activer l'analyse des failles pour recevoir l'ensemble des résultats des insights sur la sécurité.

Activez l'API Container Scanning pour activer l'analyse des failles.

Activer l'API Container Scanning
Exécutez une compilation et stockez votre artefact de compilation dans Artifact Registry. Artifact Analysis analyse automatiquement les artefacts de compilation.

L'analyse des failles peut prendre quelques minutes, en fonction de la taille de votre build.

Pour en savoir plus sur l'analyse des failles, consultez la page Analyse automatique.

L'analyse a un coût. Consultez la page Tarifs pour en savoir plus.

Accorder des autorisations pour afficher les insights

Pour afficher les insights sur la sécurité dans la console Google Cloud, vous devez disposer des rôles IAM suivants ou d'un rôle doté d'autorisations équivalentes. Si Artifact Registry et Artifact Analysis s'exécutent dans des projets différents, vous devez ajouter le rôle de lecteur d'occurrences Container Analysis ou des autorisations équivalentes dans le projet où Artifact Analysis s'exécute.

Lecteur Cloud Build (roles/cloudbuild.builds.viewer): affiche les insights sur une compilation.
Lecteur d'occurrences Container Analysis (roles/containeranalysis.occurrences.viewer): affiche les failles et d'autres informations sur les dépendances.

Afficher le panneau latéral "Informations sur la sécurité"

Pour afficher le panneau Informations sur la sécurité:

Ouvrez la page Historique de compilation dans la console Google Cloud:

Ouvrir la page Historique de compilation
Sélectionnez votre projet et cliquez sur Ouvrir.
Dans le menu déroulant Région, sélectionnez la région dans laquelle vous avez exécuté votre compilation.
Dans le tableau contenant les builds, localisez la ligne contenant le build pour lequel vous souhaitez afficher des insights sur la sécurité.
Dans la colonne Insights sur la sécurité, cliquez sur Afficher.

Le panneau latéral Informations sur la sécurité s'ouvre.
[Facultatif] Si votre compilation génère plusieurs artefacts, sélectionnez celui pour lequel vous souhaitez afficher les insights sur la sécurité dans la boîte déroulante Artifact (Artefact).

Le panneau Insights sur la sécurité s'affiche pour l'artefact sélectionné.

Niveau SLSA

Le niveau SLSA évalue le niveau actuel d'assurance de sécurité de votre build en fonction d'un ensemble de consignes.

Failles

La fiche Failles affiche les occurrences de failles, les correctifs disponibles et l'état VEX des artefacts de compilation.

Artifact Analysis permet d'analyser les images de conteneurs transférées vers Artifact Registry. Les analyses détectent les failles dans les packages du système d'exploitation et dans les packages d'application créés en Java (Maven) ou Go.

Les résultats de l'analyse sont organisés par niveau de gravité. Le niveau de gravité est une évaluation qualitative basée sur l'exploitabilité, le champ d'application, l'impact et la maturité de la faille.

Cliquez sur le nom de l'image pour afficher les artefacts analysés pour détecter les failles.

Pour chaque image de conteneur transférée vers Artifact Registry, Artifact Analysis peut stocker une instruction VEX associée. VEX est un type d'avis de sécurité qui indique si un produit est affecté par une faille connue.

Chaque instruction VEX fournit:

L'éditeur de la déclaration VEX
Artefact pour lequel l'instruction est écrite
Évaluation des failles (état VEX) pour toutes les failles connues

Dépendances

La fiche Dépendances affiche une liste de SBOM avec une liste de dépendances.

Lorsque vous créez une image de conteneur à l'aide de Cloud Build et que vous la transférez vers Artifact Registry, Artifact Analysis peut générer des enregistrements SBOM pour les images transférées.

Un SBOM est un inventaire complet d'une application qui identifie les packages sur lesquels repose votre logiciel. Le contenu peut inclure des logiciels tiers de fournisseurs, des artefacts internes et des bibliothèques Open Source.

Création

La fiche "Build" contient les informations suivantes:

Journaux : liens vers les informations du journal des versions
Builder : nom du compilateur
Terminé : temps écoulé depuis la fin de la compilation
Provenance : métadonnées vérifiables concernant un build

Les métadonnées de provenance incluent des détails tels que les condensés des images compilées, les emplacements des sources d'entrée, la chaîne d'outils de compilation, les étapes de compilation et la durée de compilation. Vous pouvez également valider la provenance de compilation à tout moment.

Pour vous assurer que vos futures compilations incluent des informations de provenance, configurez Cloud Build de manière à exiger que vos images disposent de métadonnées de provenance.

Utiliser Cloud Build avec Software Delivery Shield

Le panneau latéral Informations sur la sécurité de Cloud Build est un composant de la solution Software Delivery Shield. Software Delivery Shield est une solution entièrement gérée de bout en bout dédiée à la sécurité de la chaîne d'approvisionnement logicielle, qui vous aide à améliorer la sécurité des workflows et des outils des développeurs, des dépendances logicielles, des systèmes CI/CD utilisés pour créer et déployer vos logiciels, ainsi que des environnements d'exécution tels que Google Kubernetes Engine et Cloud Run.

Pour savoir comment utiliser Cloud Build avec d'autres composants de Software Delivery Shield pour améliorer la sécurité de votre chaîne d'approvisionnement logicielle, consultez la présentation de Software Delivery Shield.

Étapes suivantes

Découvrez comment utiliser Software Delivery Shield.
Découvrez les bonnes pratiques de sécurité sur la chaîne d'approvisionnement logicielle.
Découvrez comment stocker et afficher les journaux de compilation.
Découvrez comment résoudre les erreurs de compilation.