Se usó la API de Cloud Translation para traducir esta página.

Ver estadísticas de seguridad de compilación

En esta página, se explica cómo ver la información de seguridad de Cloud Build con el panel lateral Estadísticas de seguridad de la consola de Google Cloud.

El panel lateral Estadísticas de seguridad proporciona una descripción general de alto nivel de varios métricas de seguridad. Puedes usar el panel lateral para identificar y mitigar los riesgos en tu proceso de compilación.

Captura de pantalla del panel Estadísticas de seguridad

En este panel, se muestra la siguiente información:

Nivel de la cadena de suministro para artefactos de software (SLSA): Identifica la nivel de madurez del proceso de compilación de software de acuerdo con el SLSA especificación. Para Por ejemplo, esta compilación alcanzó el nivel 3 de SLSA.
Vulnerabilidades: Una descripción general de las vulnerabilidades encontradas en tu artefactos y el nombre de la imagen que Artifact Analysis se escaneó. Puedes hacer clic en el nombre de la imagen para ver los detalles de la vulnerabilidad. Para Por ejemplo, en la captura de pantalla, puedes hacer clic en java-guestbook-backend.
Estado de Vulnerability Exploitability eXchange(VEX) para los artefactos compilados.
Lista de materiales de software (SBOM) para los artefactos de compilación.
Detalles de compilación: Detalles de la compilación, como el compilador y el vínculo para y visualizar registros.

Habilitar el análisis de vulnerabilidades

En el panel Estadísticas de seguridad, se muestran los datos de Cloud Build y de Artifact Analysis. Artifact Analysis es un servicio que busca vulnerabilidades en paquetes de SO, Java (Maven) y Go cuando subes artefactos de compilación a Artifact Registry.

Debes habilitar el análisis de vulnerabilidades para recibir el conjunto completo de Security estadísticas.

Habilita la API de Container Scanning para activar el análisis de vulnerabilidades.

Habilitar la API de Container Scanning
Ejecuta una compilación y almacena tu artefacto de compilación en Artifact Registry. Artifact Analysis analiza automáticamente los artefactos de compilación.

El análisis de vulnerabilidades puede tardar unos minutos, según el tamaño de tu compilar.

Para obtener más información sobre el análisis de vulnerabilidades, consulta Análisis automático en tiempo real.

El análisis tiene un costo. Consulta la página de precios para obtener información sobre los precios.

Otorga permisos para ver las estadísticas

Para ver las Estadísticas de seguridad en la consola de Google Cloud, debes tener la siguientes roles de IAM o un rol con permisos equivalentes. Si Artifact Registry y Artifact Analysis son que se ejecutan en proyectos diferentes, debes agregar Rol de visualizador de casos de Container Analysis o equivalente permisos del proyecto en el que se ejecuta Artifact Analysis.

Cloud Build Visualizador (roles/cloudbuild.builds.viewer): Consulta las estadísticas de una compilación.
Visualizador de casos de Container Analysis (roles/containeranalysis.occurrences.viewer): Consulta las vulnerabilidades y otra información sobre las dependencias.

Consulta el panel lateral Estadísticas de seguridad

Para ver el panel Estadísticas de seguridad, sigue estos pasos:

Abre la página Historial de compilaciones en la consola de Google Cloud:

Abrir la página Historial de compilación
Selecciona tu proyecto y haz clic en Open.
En el menú desplegable Región, selecciona la región en la que ejecutaste tu compilar.
En la tabla con las compilaciones, ubica la fila con la compilación para la cual desean ver estadísticas de seguridad.
En la columna Estadísticas de seguridad, haz clic en Ver.

Se abrirá el panel lateral Estadísticas de seguridad.
[Opcional] Si tu compilación produce varios artefactos, selecciónalo. para los que deseas ver estadísticas de seguridad desde el menú desplegable Artifact .

Se mostrará el panel Estadísticas de seguridad del artefacto seleccionado.

Nivel de SLSA

Tarifas de nivel SLSA el nivel actual de garantía de seguridad de tu compilación en función de un conjunto de lineamientos.

Vulnerabilidades

En la tarjeta Vulnerabilidades, se muestran los casos de vulnerabilidades. las correcciones disponibles y el estado de VEX de los artefactos de compilación.

Artifact Analysis admite el análisis de imágenes de contenedores enviadas a Artifact Registry. Los análisis detectan vulnerabilidades en los paquetes del sistema operativo y en los paquetes de aplicaciones creado en Java (Maven) o Go.

Los resultados del análisis se organizan por gravedad nivel de almacenamiento. El nivel de gravedad es una evaluación cualitativa basada en la capacidad de explotación, el alcance, impacto y madurez de la vulnerabilidad.

Haz clic en el nombre de la imagen para ver los artefactos que se analizaron. vulnerabilidades.

Por cada imagen de contenedor que se envía a Artifact Registry, Artifact Analysis puede almacenar una sentencia VEX asociada. VEX es un tipo de aviso de seguridad que indica si un producto se ve afectado por una vulnerabilidad conocida.

Cada instrucción VEX proporciona lo siguiente:

El publicador de la declaración VEX
El artefacto para el que está escrita la instrucción
La evaluación de vulnerabilidades (estado de VEX) de cualquier vulnerabilidad conocida

Dependencias

La tarjeta Dependencies muestra una lista de SBOM con una lista de dependencias.

Cuando compilas una imagen de contenedor con Cloud Build a Artifact Registry, Artifact Analysis puede generar registros SBOM las imágenes enviadas.

Una SBOM es un inventario completo de una aplicación que identifica los paquetes que del software. El contenido puede incluir software de terceros de proveedores, artefactos internos y bibliotecas de código abierto.

Compilación

La tarjeta Compilación incluye la siguiente información:

Registros: vínculos a la información de registro de tu compilación
Builder: nombre del compilador.
Completed: Tiempo transcurrido desde que se completó la compilación
Procedencia: Metadatos verificables de una compilación.

Los metadatos de procedencia incluyen detalles como los resúmenes de las imágenes compiladas, las ubicaciones de las fuentes de entrada, la cadena de herramientas de compilación, los pasos de compilación y la y el tiempo de actividad. También puedes validar la configuración procedencia en cualquier momento.

Para asegurarte de que tus próximas compilaciones incluyan información de procedencia, configura Cloud Build para exigir que tus imágenes tengan origen metadatos.

Usa Cloud Build con Software Delivery Shield

El panel lateral Estadísticas de seguridad de Cloud Build es un componente del Solución Software Delivery Shield. Software Delivery Shield es una solución de seguridad para la cadena de suministro de software de extremo a extremo completamente administrada mejorar la postura de seguridad de los flujos de trabajo y las herramientas, los flujos de trabajo las dependencias, los sistemas de CI/CD usados para compilar e implementar tu software, y los como Google Kubernetes Engine y Cloud Run.

Para aprender a usar Cloud Build con otros componentes de Software Delivery Shield (Escudo de entrega de software) para mejorar la postura de seguridad de tu cadena de suministro de software, consulta Software Delivery Shield descripción general.

¿Qué sigue?

Más información para usar Entrega de software Shield
Aprende mejor la seguridad de la cadena de suministro del software prácticas recomendadas.
Aprende a almacenar y ver compilaciones registros.
Obtén más información para solucionar errores de compilación.