Consulta las estadísticas de seguridad de la compilación

En esta página, se explica cómo ver la información de seguridad sobre tus compilaciones de Cloud Build con el panel lateral Estadísticas de seguridad en la consola de Google Cloud.

El panel lateral Estadísticas de seguridad proporciona una descripción general de alto nivel de varias métricas de seguridad. Puedes usar el panel lateral para identificar y mitigar riesgos en tu proceso de compilación.

En este panel, se muestra la siguiente información:

• Niveles de cadena de suministro para artefactos de software (SLSA): Identifica el nivel de madurez de tu proceso de compilación de software de acuerdo con la especificación SLSA. Por ejemplo, esta compilación alcanzó el nivel 3 de SLSA.
• Vulnerabilidades: Una descripción general de las vulnerabilidades encontradas en tus artefactos y el nombre de la imagen que analizó Artifact Analysis. Puedes hacer clic en el nombre de la imagen para ver los detalles de la vulnerabilidad. Por ejemplo, en la captura de pantalla, puedes hacer clic en java-guestbook-backend.
• Estado de Vulnerability Exploitability eXchange(VEX) para los artefactos compilados.
• Lista de materiales de software (SBOM) para los artefactos de compilación
• Detalles de compilación: Son detalles de la compilación, como el compilador y el vínculo para ver los registros.

Habilitar el análisis de vulnerabilidades

En el panel Security Insights (Estadísticas de seguridad), se muestran datos de Cloud Build y de Artifact Analysis. Artifact Analysis es un servicio que busca vulnerabilidades en los paquetes de SO, Java (Maven) y Go cuando subes artefactos de compilación a Artifact Registry.

Debes habilitar el análisis de vulnerabilidades para recibir el conjunto completo de resultados de Estadísticas de seguridad.

1. Habilita la API de Container Scanning para activar el análisis de vulnerabilidades.

   Habilitar la API de Container Scanning

2. Ejecuta una compilación y almacena tu artefacto de compilación en Artifact Registry. Artifact Analysis analiza automáticamente los artefactos de compilación.

El análisis de vulnerabilidades puede tardar unos minutos según el tamaño de tu compilación.

Para obtener más información sobre el análisis de vulnerabilidades, consulta Análisis automático.

El escaneo tiene un costo. Consulta la página Precios para obtener información sobre los precios.

Otorga permisos para ver las estadísticas

Para ver las estadísticas de seguridad en la consola de Google Cloud, debes tener los siguientes roles de IAM o una función con permisos equivalentes. Si Artifact Registry y Artifact Analysis se ejecutan en proyectos diferentes, debes agregar la función de visualizador de casos de Artifact Analysis o permisos equivalentes en el proyecto en el que se ejecuta Artifact Analysis.

• Visualizador de Cloud Build (roles/cloudbuild.builds.viewer): Visualiza las estadísticas de una compilación.
• Visualizador de Artifact Analysis (roles/containeranalysis.occurrences.viewer): Visualiza las vulnerabilidades y otra información sobre las dependencias.

Cómo ver el panel lateral Estadísticas de seguridad

Para ver el panel Estadísticas de seguridad, sigue estos pasos:

1. Abre la página Historial de compilación en la consola de Google Cloud:

   Abrir la página Historial de compilación

2. Selecciona tu proyecto y haz clic en Open.

3. En el menú desplegable Región, selecciona la región en la que ejecutaste tu compilación.

4. En la tabla con las compilaciones, busca la fila con la compilación para la que deseas ver las estadísticas de seguridad.

5. En la columna Estadísticas de seguridad, haz clic en Ver.

   Se abrirá el panel lateral Estadísticas de seguridad.

6. Si tu compilación produce varios artefactos, selecciona el artefacto del que deseas ver las estadísticas de seguridad en el cuadro desplegable Artefacto (opcional).

   

   Se mostrará el panel Estadísticas de seguridad del artefacto seleccionado.

Nivel de SLSA

El nivel SLSA califica el nivel actual de garantía de seguridad de tu compilación en función de una colección de lineamientos.

Vulnerabilidades

En la tarjeta Vulnerabilidades, se muestran los casos de vulnerabilidades, las correcciones disponibles y el estado de VEX de los artefactos de compilación.

Artifact Analysis admite el análisis de imágenes de contenedor enviadas a Artifact Registry. Los análisis detectan vulnerabilidades en los paquetes del sistema operativo y en los de aplicación creados en Java (Maven) o Go.

Los resultados del análisis se organizan según el nivel de gravedad. El nivel de gravedad es una evaluación cualitativa basada en el riesgo de explotación, el alcance, el impacto y la madurez de la vulnerabilidad.

Haz clic en el nombre de la imagen para ver los artefactos que se analizaron en busca de vulnerabilidades.

Por cada imagen de contenedor que se envía a Artifact Registry, Artifact Analysis puede almacenar una declaración VEX asociada. VEX es un tipo de advertencia de seguridad que indica si un producto se ve afectado por una vulnerabilidad conocida.

Cada instrucción VEX proporciona lo siguiente:

• El publicador de la declaración VEX
• El artefacto para el que está escrita la declaración
• La evaluación de vulnerabilidades (estado de VEX) para cualquier vulnerabilidad conocida

Dependencias

En la tarjeta Dependencies, se muestra una lista de SBOM con una lista de dependencias.

Cuando compilas una imagen de contenedor con Cloud Build y la envías a Artifact Registry, Artifact Analysis puede generar registros SBOM para las imágenes enviadas.

Una SBOM es un inventario completo de una aplicación que identifica los paquetes en los que se basa tu software. El contenido puede incluir software de terceros de proveedores, artefactos internos y bibliotecas de código abierto.

Crear

La tarjeta Compilación incluye la siguiente información:

• Registros: Vínculos a la información de registro de la compilación
• Builder: nombre del compilador
• Completada: Es el tiempo que transcurrió desde que se completó la compilación.
• Procedencia: Metadatos verificables sobre una compilación

Los metadatos de procedencia incluyen detalles como los resúmenes de las imágenes compiladas, las ubicaciones de las fuentes de entrada, la cadena de herramientas de compilación, los pasos y la duración de la compilación. También puedes validar la procedencia de la compilación en cualquier momento.

A fin de asegurarte de que las compilaciones futuras incluyan información de origen, configura Cloud Build para que requiera que tus imágenes tengan metadatos de origen.

Usa Cloud Build con Software Delivery Shield

El panel lateral Estadísticas de seguridad en Cloud Build es un componente de la solución Software Delivery Shield. Software Delivery Shield es una solución de seguridad de la cadena de suministro de software de extremo a extremo completamente administrada que te ayuda a mejorar la postura de seguridad de las herramientas y los flujos de trabajo de los desarrolladores, las dependencias de software, los sistemas de CI/CD utilizados para compilar y, luego, implementar el software, y los entornos de ejecución como Google Kubernetes Engine y Cloud Run.

Si deseas obtener información para usar Cloud Build con otros componentes de Software Delivery Shield para mejorar la postura de seguridad de tu cadena de suministro de software, consulta Descripción general del Software Delivery Shield.

¿Qué sigue?

• Obtén información sobre cómo usar el Escudo de entrega de software.
• Conoce las prácticas recomendadas para la seguridad de la cadena de suministro de software.
• Aprende a almacenar y ver registros de compilación.
• Obtén más información para solucionar errores de compilación.