Nesta página, explicamos como visualizar informações de segurança sobre as versões do Cloud Build usando o painel lateral Insights de segurança no console do Google Cloud.
O painel lateral Insights de segurança fornece uma visão geral de alto nível de várias métricas de segurança. É possível usar o painel lateral para identificar e mitigar riscos no processo de build.
Esse painel exibe as seguintes informações:
- Nível da cadeia de suprimentos para artefatos de software (SLSA): identifica o nível de maturidade do processo de build do software de acordo com a especificação SLSA. Por exemplo, este build alcançou o nível 3 de SLSA.
- Vulnerabilidades: uma visão geral de vulnerabilidades encontradas nos seus artefatos e o nome da imagem que o Artifact Analysis verificou. Clique no nome da imagem para exibir os detalhes da vulnerabilidade. Por exemplo, na captura de tela, você pode clicar em java-guestbook-backend.
- Status do Vulnerability, Exploitability eXchange(VEX) para os artefatos criados.
- Lista de materiais do software (SBOM, na sigla em inglês) para os artefatos de build.
- Detalhes da versão: detalhes da versão, como o builder e o link para conferir os registros.
Ativar verificação de vulnerabilidades
O painel Insights de segurança exibe dados do Cloud Build e do Artifact Analysis. O Artifact Analysis é um serviço que verifica vulnerabilidades em pacotes SO, Java (Maven) e Go quando você faz upload de artefatos de build para o Artifact Registry.
Ative a verificação de vulnerabilidades para receber o conjunto completo de resultados dos insights de segurança.
Ative a API Container Scanning para ativar a verificação de vulnerabilidades.
Execute um build e armazene o artefato de build no Artifact Registry. O Artifact Analysis verifica automaticamente os artefatos de build.
A verificação de vulnerabilidades pode levar alguns minutos, dependendo do tamanho do seu build.
Para mais informações sobre a verificação de vulnerabilidades, consulte Verificação automática.
Há um custo para a verificação. Consulte a página de preços para mais informações.
Conceder permissões para visualizar insights
Para visualizar Insights de segurança no console do Google Cloud, é preciso ter os seguintes papéis do IAM ou um papel com permissões equivalentes. Se o Artifact Registry e o Artifact Analysis estiverem em execução em projetos diferentes, adicione o papel de Leitor de ocorrências do Container Analysis ou permissões equivalentes no projeto em que o Artifact Analysis está sendo executado.
- Leitor do Cloud Build (
roles/cloudbuild.builds.viewer
): visualizar insights de um build. - Leitor de ocorrências do Container Analysis
(
roles/containeranalysis.occurrences.viewer
): exibe vulnerabilidades e outras informações de dependência.
Ver o painel lateral "Insights de segurança"
Para ver o painel Insights de segurança, faça o seguinte:
Abra a página Histórico de builds no console do Google Cloud:
Selecione o projeto e clique em Abrir.
No menu suspenso Região, selecione a região em que você executou o build.
Na tabela com os builds, localize a linha com o build que você quer ver insights de segurança.
Na coluna Insights de segurança, clique em Ver.
O painel lateral Insights de segurança será aberto.
[Opcional] Se a versão produzir vários artefatos, selecione o artefato em que você quer ver os insights de segurança na caixa suspensa Artefato.
O painel Insights de segurança do artefato selecionado será exibido.
Nível de SLSA
O nível SLSA avalia o nível atual de garantia de segurança do seu build com base em uma coleção de diretrizes.
Vulnerabilidades
O card Vulnerabilidades exibe as ocorrências de vulnerabilidades, as correções disponíveis e o status VEX dos artefatos de compilação.
O Artifact Analysis oferece suporte à verificação de imagens de contêiner enviadas ao Artifact Registry. As verificações detectam vulnerabilidades em pacotes do sistema operacional e em pacotes de aplicativos criados em Java (Maven) ou Go.
Os resultados da verificação são organizados por nível de gravidade. O nível de gravidade é uma avaliação qualitativa baseada na capacidade de exploração, escopo, impacto e maturidade da vulnerabilidade.
Clique no nome da imagem para ver os artefatos verificados quanto a vulnerabilidades.
Para cada imagem de contêiner enviada ao Artifact Registry, o Artifact Analysis pode armazenar uma instrução VEX associada. VEX é um tipo de aviso de segurança que indica se um produto é afetado por uma vulnerabilidade conhecida.
Cada declaração VEX fornece:
- O editor da declaração VEX
- O artefato para o qual a instrução é escrita
- a avaliação (status VEX) de quaisquer vulnerabilidades conhecidas.
Dependências
O card Dependências mostra uma lista de SBOMs com uma lista de dependências.
Quando você cria uma imagem de contêiner usando o Cloud Build e a envia para o Artifact Registry, o Artifact Analysis pode gerar registros SBOM para as imagens enviadas.
Uma SBOM é um inventário completo de um aplicativo que identifica os pacotes de que o software depende. O conteúdo pode incluir software de terceiros de fornecedores, artefatos internos e bibliotecas de código aberto.
Criação
O card "Build" inclui as seguintes informações:
- Registros: links para as informações de registro da versão.
- Builder: nome do builder
- Concluído: tempo decorrido desde a conclusão do build.
- Procedência: metadados verificáveis sobre um build
Os metadados de procedência incluem detalhes como os resumos das imagens criadas, os locais da origem de entrada, o conjunto de ferramentas de build, as etapas e a duração do build. Também é possível validar a procedência do build a qualquer momento.
Para garantir que seus builds futuros incluam informações de procedência, configure o Cloud Build para exigir que suas imagens tenham metadados de procedência.
Usar o Cloud Build com o Software Delivery Shield
O painel lateral Insights de segurança no Cloud Build é um componente da solução Software Delivery Shield. O Software Delivery Shield é uma solução de segurança da cadeia de suprimentos de software de ponta a ponta totalmente gerenciada que ajuda a melhorar a postura de segurança de ferramentas e fluxos de trabalho do desenvolvedor, dependências de software, sistemas de CI/CD usados para criar e implantar o software e ambientes de execução, como o Google Kubernetes Engine e o Cloud Run.
Para saber como usar o Cloud Build com outros componentes do Software Delivery Shield para melhorar a postura de segurança da cadeia de suprimentos de software, consulte Visão geral do Software Delivery Shield.
A seguir
- Aprenda a usar o Software Delivery Shield.
- Conheça as práticas recomendadas de segurança da cadeia de suprimentos de software.
- Saiba como armazenar e visualizar registros de versões.
- Saiba como resolver erros de build.