Questa pagina spiega come visualizzare le informazioni di sicurezza di Cloud Build build utilizzando il riquadro laterale Approfondimenti sulla sicurezza nella console Google Cloud.
Il riquadro laterale Approfondimenti sulla sicurezza fornisce una panoramica di alto livello su più metriche di sicurezza. Puoi utilizzare il riquadro laterale per identificare e mitigare i rischi in il processo di compilazione.
In questo riquadro vengono visualizzate le seguenti informazioni:
- Supply-chain Levels for Software Artifacts (SLSA) Level: identifica il livello livello di maturità del tuo processo di compilazione del software in conformità con lo SLSA la specifica del prodotto. Per Ad esempio, questa build ha raggiunto il livello 3 SLSA.
- Vulnerabilità: una panoramica delle vulnerabilità rilevate nel tuo artefatti e il nome dell'immagine Analisi degli artefatti analizzato. Puoi fare clic sul nome dell'immagine per visualizzare i dettagli della vulnerabilità. Per Ad esempio, nello screenshot puoi fare clic su java-guestbook-backend.
- Stato Vulnerability Exploitability eXchange(VEX) per gli artefatti creati.
- Fattura dei materiali software (SBOM) per gli artefatti della build.
- Dettagli build: i dettagli della build, ad esempio il builder e il link a e visualizzare i log.
Abilita scansione delle vulnerabilità
Il riquadro Approfondimenti sulla sicurezza mostra i dati di Cloud Build e da Artifact Analysis. Artifact Analysis è un servizio che analizza le vulnerabilità Pacchetti di sistemi operativi, Java (Maven) e Go quando carichi gli artefatti della build in Artifact Registry.
Devi attivare l'analisi delle vulnerabilità per ricevere l'insieme completo delle misure di sicurezza insight.
Abilita l'API Container Scanning per attivare l'analisi delle vulnerabilità.
Esegui una build e archivia l'artefatto della build Artifact Registry. Artifact Analysis esegue automaticamente la scansione degli artefatti della build.
L'analisi delle vulnerabilità può richiedere alcuni minuti, a seconda delle dimensioni del tuo creare.
Per ulteriori informazioni sull'analisi delle vulnerabilità, consulta scansione.
La scansione è a pagamento. Consulta i prezzi per informazioni sui prezzi.
Concedi le autorizzazioni per visualizzare gli insight
Per visualizzare Approfondimenti sulla sicurezza nella console Google Cloud, devi disporre del seguenti ruoli IAM o un ruolo con autorizzazioni equivalenti. Se Artifact Registry e Artifact Analysis sono in esecuzione in progetti diversi, devi aggiungere Ruolo Visualizzatore occorrenze Container Analysis o equivalente autorizzazioni nel progetto in cui è in esecuzione Artifact Analysis.
- Cloud Build
Visualizzatore
(
roles/cloudbuild.builds.viewer): visualizza insight per una build. - Visualizzatore occorrenze Container Analysis
(
roles/containeranalysis.occurrences.viewer): visualizza vulnerabilità e e altre informazioni sulle dipendenze.
Visualizza il riquadro laterale degli insight sulla sicurezza
Per visualizzare il riquadro Approfondimenti sulla sicurezza:
Apri la pagina Cronologia build nella console Google Cloud:
Seleziona il progetto e fai clic su Apri.
Nel menu a discesa Regione, seleziona la regione in cui hai eseguito creare.
Nella tabella con le build, individua la riga con la build per la quale vuoi visualizzare insight sulla sicurezza.
Nella colonna Approfondimenti sulla sicurezza fai clic su Visualizza.
Si apre il riquadro laterale Approfondimenti sulla sicurezza.
[Facoltativo] Se la build produce più artefatti, seleziona l'artefatto per cui vuoi visualizzare approfondimenti sulla sicurezza dal menu a discesa Artefatto .
Viene visualizzato il riquadro Approfondimenti sulla sicurezza per l'artefatto selezionato.
Livello SLSA
Tariffe a livello SLSA l'attuale livello di garanzia della sicurezza della build in base a una raccolta linee guida.
Vulnerabilità
La scheda Vulnerabilità mostra le occorrenze di vulnerabilità, correzioni disponibili e stato VEX per gli artefatti della build.
Analisi degli artefatti supporta la scansione delle immagini container inviate tramite push Artifact Registry. Le scansioni rilevano vulnerabilità nei pacchetti del sistema operativo e nei pacchetti di applicazioni creati in Java (Maven) o Go.
I risultati della scansione sono organizzati per gravità livello. Il livello di gravità è una valutazione qualitativa basata su sfruttabilità, ambito l'impatto e la maturità della vulnerabilità.
Fai clic sul nome dell'immagine per visualizzare gli artefatti di cui è stata eseguita la scansione le vulnerabilità.
Per ogni immagine container di cui è stato eseguito il push su Artifact Registry, Artifact Analysis può archiviare un'istruzione VEX associata. VEX è un tipo di avviso di sicurezza che indica se un prodotto è interessato da una vulnerabilità nota.
Ogni istruzione VEX fornisce:
- L'editore della Dichiarazione VEX
- L'artefatto per il quale viene scritta l'istruzione
- La valutazione delle vulnerabilità (stato VEX) per le vulnerabilità note
Dipendenze
La scheda Dipendenze mostra un elenco di SBOM con un elenco di delle dipendenze.
Quando crei un'immagine container con Cloud Build ed esegui il push ad Artifact Registry, Artifact Analysis può generare record SBOM le immagini inviate tramite push.
Un SBOM è l'inventario completo di un'applicazione, che identifica i pacchetti su cui si basa il software. I contenuti possono includere software di terze parti forniti da fornitori, artefatti interni e librerie open source.
Build
La scheda Build include le seguenti informazioni:
- Log: link alle informazioni dei log della build
- Builder: nome del costruttore
- Completato: tempo trascorso dal completamento della build
- Provenienza: metadati verificabili su una build
I metadati di provenienza includono dettagli come le sintesi delle immagini create, le posizioni dell'origine di input, la toolchain di build, i passaggi di build durata massima. Puoi anche convalidare la build provenienza in qualsiasi momento.
Per assicurarti che le build future includano informazioni sulla provenienza, Cloud Build per richiedere che le immagini abbiano la provenienza metadati.
Utilizza Cloud Build con Software Delivery Shield
Il riquadro laterale Approfondimenti sulla sicurezza in Cloud Build è un componente della Soluzione Software Delivery Shield. Software Delivery Shield è una soluzione end-to-end completamente gestita per la sicurezza della catena di fornitura del software per migliorare la security posture dei flussi di lavoro e degli strumenti degli sviluppatori, dipendenze, sistemi CI/CD utilizzati per creare ed eseguire il deployment del software e come Google Kubernetes Engine e Cloud Run.
Per scoprire come utilizzare Cloud Build con gli altri componenti di Software Delivery Shield per migliorare la postura di sicurezza dei tuoi della catena di fornitura del software, consulta Software Delivery Shield Panoramica.
Passaggi successivi
- Scopri come utilizzare Software Delivery Scudo.
- Scopri le migliori best practice per la sicurezza della catena di fornitura del software pratiche.
- Scopri come archiviare e visualizzare le build log.
- Scopri come risolvere gli errori di build.