查看 build 安全性数据分析

本页面介绍了如何查看有关 Cloud Build 的安全信息 使用 Google Cloud 控制台中的安全性数据分析侧边栏进行构建。

安全性数据分析侧边栏提供关于 安全指标您可以使用侧边栏来识别和缓解 构建流程

此面板会显示以下信息：

• 软件制品的供应链级别 (SLSA) 级别：用于确定 软件构建流程的成熟度级别，符合 SLSA 规范。对于 例如，此 build 已达到 SLSA 3 级。
• 漏洞：在您的 Google Cloud 控制台中发现的所有漏洞的概览 以及图片名称 Artifact Analysis 已扫描。您可以点击映像名称查看漏洞详情。对于 例如，在屏幕截图中，您可以点击 java-guestbook-backend。
• Vulnerability Exploitability eXchange(VEX) 状态 用于构建的工件
• 软件物料清单 (SBOM) 用于构建工件
• 构建详情：构建详情，例如构建器和指向 查看日志。

启用漏洞扫描

安全性数据分析面板显示来自 Cloud Build 和 （来自 Artifact Analysis）。 Artifact Analysis 是一项服务，可用于在 Cloud Storage 中 操作系统、Java (Maven) 和 Go 软件包（当您将构建工件上传到 Artifact Registry 时）。

您必须启用漏洞扫描才能获得完整的安全性 分析结果。

1. 启用 Container Scanning API 以开启漏洞扫描。

   启用 Container Scanning API

2. 执行构建并将构建工件存储在 Artifact Registry。 Artifact Analysis 会自动扫描 build 工件。

漏洞扫描可能需要几分钟的时间，具体取决于您的应用规模 build。

如需详细了解漏洞扫描，请参阅自动 扫描。

扫描需要付费。请参阅定价 页面了解价格信息。

授予查看数据分析的权限

如需在 Google Cloud 控制台中查看安全性数据分析，您必须满足以下条件： 拥有下列 IAM 角色或具有 同等权限。如果 Artifact Registry 和 Artifact Analysis 在不同项目中运行的，则必须将 Container Analysis Occurrences Viewer 角色或同等角色 拥有 Artifact Analysis 运行项目的权限。

• Cloud Build 查看者 (roles/cloudbuild.builds.viewer)：查看 build 的数据分析。
• Container Analysis Occurrences Viewer (roles/containeranalysis.occurrences.viewer)：查看漏洞和 其他依赖项信息

查看“安全性数据分析”侧边栏

如需查看“安全性数据分析”面板，请执行以下操作：

1. 在 Google Cloud 控制台中打开构建记录页面：

   打开“构建记录”页面

2. 选择您的项目，然后点击打开。

3. 在区域下拉菜单中，选择您在哪个区域运行了 build。

4. 在包含 build 的表中，找到要应用于 build 的 build 所在的行 想要查看安全性数据分析

5. 在安全性数据分析列下，点击查看。

   系统随即会打开安全性数据分析侧边栏。

6. [可选] 如果构建生成多个工件，请选择相应工件 您想通过软件制品下拉菜单查看安全性数据分析的产品 方框。

   

   这会显示所选工件的安全性数据分析面板。

SLSA 级别

SLSA 级别费率 你构建的当前安全级别基于一系列 指南。

漏洞

漏洞卡片会显示漏洞发生实例， 可用的修复程序以及 build 工件的 VEX 状态。

Artifact Analysis 支持扫描推送到 Artifact Registry。扫描可检测出 操作系统软件包和应用软件包中存在的漏洞 使用 Java (Maven) 或 Go 创建。

扫描结果按严重程度排序 级别。 严重程度等级是根据可利用性、范围、 漏洞的影响和成熟度

点击映像名称即可查看已扫描的工件 漏洞

对于推送到 Artifact Registry 的每个容器映像，Artifact Analysis 可以存储关联的 VEX 语句。VEX 是一种安全警告 指示某个产品是否受到已知漏洞的影响。

每个 VEX 语句提供：

• VEX 对账单的发布方
• 编写语句的工件
• 针对任何已知漏洞的漏洞评估（VEX 状态）

依赖项

依赖项卡片会显示 SBOM 列表，其中包含 依赖项

当您使用 Cloud Build 构建容器映像时 Artifact Analysis 可以生成 SBOM 记录， 推送的映像

SBOM 是应用的完整清单，可标识您的 软件所依赖的技术。这些内容可能包括来自供应商的第三方软件 内部工件和开源库

构建

“构建”卡片包含以下信息：

• 日志 - 指向构建日志信息的链接
• Builder - 构建器名称
• 已完成 - 自构建完成以来经过的时间
• 出处 - 关于 build 的可验证元数据

出处元数据包括构建映像的摘要、 输入源位置、构建工具链、构建步骤和构建 时长。您还可以验证构建 出处 。

为了确保您未来的 build 包含出处信息，请配置 Cloud Build要求您的映像必须有出处 元数据。

将 Cloud Build 与 Software Delivery Shield 搭配使用

Cloud Build 中的安全性数据分析侧边栏是 Software Delivery Shield 解决方案。Software Delivery Shield 是 一种全代管式端到端软件供应链安全解决方案， 您可以改进开发者工作流和工具、软件 依赖项、用于构建和部署软件的 CI/CD 系统，以及运行时 例如 Google Kubernetes Engine 和 Cloud Run

了解如何将 Cloud Build 与 Cloud Build 的其他组件 Software Delivery Shield 可改善您的 请参阅 Software Delivery Shield 概览。

后续步骤

• 了解如何使用 Software Delivery Shield。
• 了解软件供应链安全的最佳方式 做法。
• 了解如何存储和查看构建作业 日志。
• 了解如何排查构建错误。