Questa pagina spiega come visualizzare le informazioni sulla sicurezza delle tue build Cloud Build utilizzando il riquadro laterale Approfondimenti sulla sicurezza nella console Google Cloud.
Il riquadro laterale Approfondimenti sulla sicurezza fornisce una panoramica di alto livello su più metriche di sicurezza. Puoi utilizzare il riquadro laterale per identificare e mitigare i rischi in il processo di compilazione.
Questo riquadro mostra le seguenti informazioni:
- Livello Supply-chain Levels for Software Artifacts (SLSA): identifica il livello di maturità del processo di compilazione del software in conformità con la specifica SLSA. Per Ad esempio, questa build ha raggiunto il livello 3 SLSA.
- Vulnerabilità: una panoramica delle eventuali vulnerabilità rilevate negli elementi e il nome dell'immagine analizzata da Artifact Analysis. Puoi fare clic sul nome dell'immagine per visualizzare i dettagli della vulnerabilità. Ad esempio, nello screenshot puoi fare clic su java-guestbook-backend.
- Stato Vulnerability Exploitability eXchange(VEX) per gli artefatti creati.
- Software Bill of Materials (SBOM) per gli elementi di compilazione.
- Dettagli build: i dettagli della build, ad esempio il builder e il link a e visualizzare i log.
Abilita scansione delle vulnerabilità
Il riquadro Approfondimenti sulla sicurezza mostra i dati di Cloud Build e da Artifact Analysis. Artifact Analysis è un servizio che esegue la scansione per rilevare vulnerabilità nei pacchetti OS, Java (Maven) e Go quando carichi gli artefatti della build in Artifact Registry.
Devi attivare l'analisi delle vulnerabilità per ricevere l'insieme completo delle misure di sicurezza insight.
Abilita l'API Container Scanning per attivare l'analisi delle vulnerabilità.
Esegui una build e archivia l'artefatto della build in Artifact Registry. Artifact Analysis analizza automaticamente gli artefatti di compilazione.
La ricerca delle vulnerabilità potrebbe richiedere alcuni minuti, a seconda delle dimensioni della compilazione.
Per ulteriori informazioni sull'analisi delle vulnerabilità, consulta scansione.
La scansione è a pagamento. Consulta i prezzi per informazioni sui prezzi.
Concedi le autorizzazioni per visualizzare gli insight
Per visualizzare Approfondimenti sulla sicurezza nella console Google Cloud, devi disporre del seguenti ruoli IAM o un ruolo con autorizzazioni equivalenti. Se Artifact Registry e Artifact Analysis vengono eseguiti in progetti diversi, devi aggiungere il ruolo Visualizzatore delle occorrenze di Container Analysis o autorizzazioni equivalenti nel progetto in cui è in esecuzione Artifact Analysis.
- Cloud Build
Visualizzatore
(
roles/cloudbuild.builds.viewer): visualizza insight per una build. - Visualizzatore occorrenze Container Analysis
(
roles/containeranalysis.occurrences.viewer): visualizza vulnerabilità e e altre informazioni sulle dipendenze.
Visualizza il riquadro laterale degli insight sulla sicurezza
Per visualizzare il riquadro Approfondimenti sulla sicurezza:
Apri la pagina Cronologia build nella console Google Cloud:
Seleziona il progetto e fai clic su Apri.
Nel menu a discesa Regione, seleziona la regione in cui hai eseguito creare.
Nella tabella con le build, individua la riga con la build per la quale vuoi visualizzare gli approfondimenti sulla sicurezza.
Nella colonna Approfondimenti sulla sicurezza fai clic su Visualizza.
Viene visualizzato il riquadro laterale Approfondimenti sulla sicurezza.
[Facoltativo] Se la build produce più artefatti, seleziona l'artefatto per cui vuoi visualizzare approfondimenti sulla sicurezza dal menu a discesa Artefatto .
Viene visualizzato il riquadro Approfondimenti sulla sicurezza per l'elemento selezionato.
Livello SLSA
Tariffe a livello SLSA l'attuale livello di garanzia della sicurezza della build in base a una raccolta linee guida.
Vulnerabilità
La scheda Vulnerabilità mostra le occorrenze delle vulnerabilità, le correzioni disponibili e lo stato VEX per gli artefatti di compilazione.
Analisi degli artefatti supporta la scansione delle immagini container inviate tramite push Artifact Registry. Le analisi rilevano vulnerabilità nei pacchetti del sistema operativo e nei pacchetti delle applicazioni creati in Java (Maven) o Go.
I risultati della scansione sono organizzati in base al livello di gravità. Il livello di gravità è una valutazione qualitativa basata su sfruttabilità, ambito l'impatto e la maturità della vulnerabilità.
Fai clic sul nome dell'immagine per visualizzare gli artefatti di cui è stata eseguita la scansione le vulnerabilità.
Per ogni immagine container di cui è stato eseguito il push su Artifact Registry, Artifact Analysis può archiviare un'istruzione VEX associata. VEX è un tipo di avviso di sicurezza che indica se un prodotto è interessato da una vulnerabilità nota.
Ogni istruzione VEX fornisce:
- Il publisher della dichiarazione VEX
- L'artefatto per il quale viene scritta l'istruzione
- La valutazione delle vulnerabilità (stato VEX) per le vulnerabilità note
Dipendenze
La scheda Dipendenze mostra un elenco di SBOM con un elenco di dipendenze.
Quando crei un'immagine container utilizzando Cloud Build e la invii ad Artifact Registry, Container Analysis può generare record SBOM per le immagini inviate.
Un SBOM è l'inventario completo di un'applicazione, che identifica i pacchetti su cui si basa il software. I contenuti possono includere software di terze parti forniti da fornitori, artefatti interni e librerie open source.
Build
La scheda Build include le seguenti informazioni:
- Log: link alle informazioni dei log di compilazione
- Builder: nome del costruttore
- Completato: tempo trascorso dal completamento della build
- Provenienza: metadati verificabili su una build
I metadati di provenienza includono dettagli come le sintesi delle immagini create, le posizioni dell'origine di input, la toolchain di build, i passaggi di build durata massima. Puoi anche convalidare la provenienza della compilazione in qualsiasi momento.
Per assicurarti che le build future includano informazioni sulla provenienza, Cloud Build per richiedere che le immagini abbiano la provenienza metadati.
Utilizza Cloud Build con Software Delivery Shield
Il riquadro laterale Approfondimenti sulla sicurezza in Cloud Build è un componente della Soluzione Software Delivery Shield. Software Delivery Shield è una soluzione end-to-end completamente gestita per la sicurezza della catena di fornitura del software per migliorare la security posture dei flussi di lavoro e degli strumenti degli sviluppatori, dipendenze, sistemi CI/CD utilizzati per creare ed eseguire il deployment del software e come Google Kubernetes Engine e Cloud Run.
Per scoprire come utilizzare Cloud Build con gli altri componenti di Software Delivery Shield per migliorare la postura di sicurezza dei tuoi della catena di fornitura del software, consulta Software Delivery Shield Panoramica.
Passaggi successivi
- Scopri come utilizzare Software Delivery Shield.
- Scopri le migliori best practice per la sicurezza della catena di fornitura del software pratiche.
- Scopri come archiviare e visualizzare le build log.
- Scopri come risolvere gli errori di compilazione.