Nesta página, explicamos como acessar informações de segurança sobre o Cloud Build. builds usando o painel lateral Insights de segurança no console do Google Cloud.
O painel lateral Insights de segurança oferece uma visão geral de alto nível métricas de segurança. É possível usar o painel lateral para identificar e mitigar riscos em o processo de build.
Esse painel exibe as seguintes informações:
- Nível da cadeia de suprimentos para artefatos de software (SLSA): identifica o nível de maturidade do seu processo de compilação de software de acordo com a SLSA especificação. Para exemplo, esta versão alcançou o nível 3 de SLSA.
- Vulnerabilidades: informações gerais das vulnerabilidades encontradas nos artefatos e o nome da imagem que Análise de artefatos verificado. Clique no nome da imagem para exibir os detalhes da vulnerabilidade. Para exemplo, na captura de tela, é possível clicar em java-guestbook-backend.
- Status do Vulnerability, Exploitability eXchange(VEX) para os artefatos criados.
- Lista de materiais do software (SBOM, na sigla em inglês) para os artefatos de build.
- Detalhes da versão: detalhes da versão, como o builder e o link para e conferir os registros.
Ativar verificação de vulnerabilidades
O painel Insights de segurança exibe dados do Cloud Build e do Artifact Analysis. O Artifact Analysis é um serviço que verifica vulnerabilidades em pacotes OS, Java (Maven) e Go ao fazer upload de artefatos de versão para o Artifact Registry.
Ative a verificação de vulnerabilidades para receber o conjunto completo de recomendações de insights.
Ative a API Container Scanning para ativar a verificação de vulnerabilidades.
Execute uma versão e armazene o artefato dela em Artifact Registry. O Artifact Analysis verifica automaticamente os artefatos de build.
A verificação de vulnerabilidades pode levar alguns minutos, dependendo do tamanho do seu ser construído.
Para mais informações sobre a verificação de vulnerabilidades, consulte verificação.
Há um custo para a verificação. Consulte a seção Preços para informações sobre preços.
Conceder permissões para visualizar insights
Para acessar os Insights de segurança no console do Google Cloud, você precisa ter o os seguintes papéis do IAM ou com equivalentes. Se o Artifact Registry e o Artifact Analysis em execução em projetos diferentes, é preciso adicionar o Papel de Leitor de ocorrências do Container Analysis ou equivalente no projeto em que o Artifact Analysis está sendo executado.
- Cloud Build
Leitor
(
roles/cloudbuild.builds.viewer
): visualizar insights de um build. - Leitor de ocorrências do Container Analysis
(
roles/containeranalysis.occurrences.viewer
): visualizar vulnerabilidades e outras informações de dependência.
Ver o painel lateral "Insights de segurança"
Para ver o painel Insights de segurança, faça o seguinte:
Abra a página Histórico de builds no console do Google Cloud:
Selecione o projeto e clique em Abrir.
No menu suspenso Região, selecione a região em que você executou ser construído.
Na tabela com os builds, localize a linha com o build para o qual você querem acessar insights de segurança.
Na coluna Insights de segurança, clique em Ver.
O painel lateral Insights de segurança será aberto.
[Opcional] Se a versão produzir vários artefatos, selecione o artefato que você quer acessar com insights de segurança no menu suspenso Artefato caixa
O painel Insights de segurança do artefato selecionado é exibido.
Nível de SLSA
Taxas de nível SLSA o nível atual de garantia de segurança do seu build com base em uma coleção de de diretrizes.
Vulnerabilidades
O card Vulnerabilidades mostra as ocorrências de vulnerabilidade. correções disponíveis e o status VEX dos artefatos de compilação.
Análise de artefatos oferece suporte à verificação de imagens de contêiner enviadas ao Artifact Registry. As verificações detectam vulnerabilidades em pacotes de sistemas operacionais e pacotes de aplicativos criados em Java (Maven) ou Go.
Os resultados da verificação são organizados por gravidade do Google Workspace. O nível de gravidade é uma avaliação qualitativa baseada na capacidade de exploração, escopo, o impacto e a maturidade da vulnerabilidade.
Clique no nome da imagem para ver os artefatos que foram verificados vulnerabilidades.
Para cada imagem de contêiner enviada para o Artifact Registry, o Artifact Analysis pode armazenar uma instrução VEX associada. O VEX é um tipo de consultoria de segurança que indica se um produto é afetado por uma vulnerabilidade conhecida.
Cada declaração VEX fornece:
- O editor da declaração VEX
- O artefato para o qual a instrução é escrita
- a avaliação (status VEX) de quaisquer vulnerabilidades conhecidas.
Dependências
O card Dependências mostra uma lista de SBOMs com uma lista de dependências.
Quando você cria uma imagem de contêiner usando o Cloud Build e envia no Artifact Registry, o Artifact Analysis pode gerar registros de SBOM para as imagens enviadas.
Uma SBOM é um inventário completo de um aplicativo que identifica os pacotes de que o software depende. O conteúdo pode incluir software de terceiros de fornecedores, artefatos internos e bibliotecas de código aberto.
Criar
O card "Build" inclui as seguintes informações:
- Registros: links para as informações de registro da versão.
- Builder: nome do builder
- Concluído: tempo decorrido desde a conclusão do build.
- Procedência: metadados verificáveis sobre um build
Os metadados de procedência incluem detalhes como os resumos das imagens criadas, os locais de origem de entrada, o conjunto de ferramentas de build, as etapas de build e o duração Também é possível validar procedência a qualquer momento.
Para garantir que os builds futuros incluam informações de procedência, configure Cloud Build para exigir que suas imagens tenham procedência metadados.
Usar o Cloud Build com o Software Delivery Shield
O painel lateral Insights de segurança no Cloud Build é um componente do com a solução Software Delivery Shield. O Software Delivery Shield é uma solução completa e totalmente gerenciada de segurança da cadeia de suprimentos de software melhorar a postura de segurança dos fluxos de trabalho e ferramentas dos desenvolvedores, dependências, sistemas de CI/CD usados para criar e implantar o software e ambientes, como o Google Kubernetes Engine e o Cloud Run.
Para saber como usar o Cloud Build com outros componentes do Software Delivery Shield para melhorar a postura de segurança dos seus cadeia de suprimentos de software, consulte Software Delivery Shield geral.
A seguir
- Saiba como usar o Software Delivery Shield.
- Conheça melhor a segurança da cadeia de suprimentos de software práticas recomendadas de autenticação.
- Saiba como armazenar e conferir o build registros do Terraform.
- Saiba como resolver erros de build.