Cette page a été traduite par l'API Cloud Translation.

Afficher les insights sur la sécurité des compilations

Cette page explique comment afficher les informations de sécurité relatives à Cloud Build à partir du panneau latéral Insights sur la sécurité de la console Google Cloud.

Le panneau latéral Informations sur la sécurité offre une vue d'ensemble de plusieurs les métriques de sécurité. Vous pouvez utiliser le panneau latéral pour identifier et atténuer les risques dans votre processus de compilation.

Capture d'écran du panneau "Informations sur la sécurité"

Ce panneau affiche les informations suivantes:

Supply-chain Levels for Software Artifacts (SLSA) Level (Niveaux de la chaîne d'approvisionnement pour les artefacts logiciels, niveau SLSA) : identifie le le niveau de maturité de votre processus de création de logiciels, conformément à la norme SLSA caractéristiques. Pour exemple : ce build a atteint le niveau SLSA de niveau 3.
Failles: vue d'ensemble des failles détectées dans votre les artefacts et le nom de l'image Artifact Analysis a analysé. Vous pouvez cliquer sur le nom de l'image pour afficher les détails de la faille. Pour Dans la capture d'écran ci-dessous, cliquez sur java-guestbook-backend.
État VEX(Vulnerability Exploitability eXchange) pour les artefacts compilés.
Nomenclature logicielle (SBOM) pour les artefacts de compilation.
Informations sur la compilation: informations sur la compilation, telles que le compilateur et le lien vers afficher les journaux.

Activer l'analyse des failles

Le panneau Informations sur la sécurité affiche les données de Cloud Build et de Artifact Analysis. Artifact Analysis est un service qui recherche les failles des packages OS, Java (Maven) et Go lorsque vous importez des artefacts de compilation dans Artifact Registry.

Vous devez activer l'analyse des failles pour recevoir l'ensemble des paramètres de sécurité insights.

Activez l'API Container Scanning pour activer l'analyse des failles.

Activer l'API Container Scanning
Exécutez un build et stockez-y votre artefact de build Artifact Registry. Artifact Analysis analyse automatiquement les artefacts de compilation.

L'analyse des failles peut prendre quelques minutes, selon la taille créer.

Pour plus d'informations sur l'analyse des failles, consultez la section analyse.

L'analyse a un coût. Reportez-vous à la page Tarifs pour obtenir des informations sur les tarifs.

Accorder des autorisations pour afficher les insights

Pour afficher les insights sur la sécurité dans la console Google Cloud, vous devez disposer de la les rôles IAM suivants, ou un rôle des autorisations équivalentes. Si Artifact Registry et Artifact Analysis sont exécutées dans des projets différents, vous devez ajouter Rôle de lecteur d'occurrences Container Analysis ou équivalent autorisations dans le projet où Artifact Analysis s'exécute.

Cloud Build Lecteur (roles/cloudbuild.builds.viewer): permet d'afficher les insights d'un build.
Lecteur d'occurrences Container Analysis (roles/containeranalysis.occurrences.viewer): afficher les failles et d’autres informations sur la dépendance.

Afficher le panneau latéral "Informations sur la sécurité"

Pour afficher le panneau Informations sur la sécurité:

Ouvrez la page Historique de compilation dans la console Google Cloud:

Ouvrir la page Historique de compilation
Sélectionnez votre projet et cliquez sur Ouvrir.
Dans le menu déroulant Région, sélectionnez la région dans laquelle vous avez exécuté votre créer.
Dans le tableau contenant les builds, repérez la ligne contenant le build pour lequel pour consulter les insights sur la sécurité.
Dans la colonne Insights sur la sécurité, cliquez sur Afficher.

Le panneau latéral Informations sur la sécurité s'ouvre.
[Facultatif] Si votre build génère plusieurs artefacts, sélectionnez-le. pour lequel vous souhaitez consulter les insights de sécurité à partir du menu déroulant Artefact .

Le panneau Insights sur la sécurité s'affiche pour l'artefact sélectionné.

Niveau SLSA

Tarifs du niveau SLSA le niveau d'assurance de sécurité actuel de votre build, en fonction d'un ensemble consignes.

Failles

La fiche Failles affiche les occurrences de failles, les correctifs disponibles et l'état VEX des artefacts de compilation.

Artifact Analysis prend en charge l'analyse des images de conteneurs transférées vers Artifact Registry : Les analyses détectent les vulnérabilités dans les packages de système d’exploitation et les packages d’application que vous avez créés en Java (Maven) ou Go.

Les résultats de l'analyse sont organisés par niveau de gravité niveau supérieur. Le niveau de gravité est une évaluation qualitative basée sur l'exploitabilité, l'impact et la maturité de la vulnérabilité.

Cliquez sur le nom de l'image pour afficher les artefacts qui ont été analysés. les failles.

Pour chaque image de conteneur transférée vers Artifact Registry, Artifact Analysis peut stocker une instruction VEX associée. VEX est un type d'avis de sécurité qui indique si un produit est affecté par une vulnérabilité connue.

Chaque instruction VEX fournit:

L'éditeur de la déclaration VEX
Artefact pour lequel l'instruction est écrite
Évaluation des failles (état VEX) pour toutes les failles connues

Dépendances

La fiche Dépendances affiche une liste de SBOM avec une liste de les dépendances.

Lorsque vous créez une image de conteneur à l'aide de Cloud Build et transmettez vers Artifact Registry, Artifact Analysis peut générer des enregistrements SBOM les images transférées.

Un SBOM est un inventaire complet d'une application, qui identifie les packages que logiciel. Le contenu peut inclure des logiciels tiers de fournisseurs, les artefacts internes et les bibliothèques Open Source.

Développement

La fiche "Build" contient les informations suivantes:

Journaux : liens vers les informations du journal des versions
Builder : nom du compilateur
Terminé : temps écoulé depuis la fin de la compilation
Provenance : métadonnées vérifiables concernant un build

Les métadonnées de provenance incluent des détails tels que les condensés des images compilées, les emplacements des sources d'entrée, la chaîne d'outils de compilation, les étapes de compilation et la compilation de la vidéo. Vous pouvez également valider la compilation provenance à tout moment.

Pour vous assurer que vos futures compilations incluent des informations de provenance, configurez Cloud Build pour exiger que vos images aient la provenance métadonnées.

Utiliser Cloud Build avec Software Delivery Shield

Le panneau latéral Security insights (Informations sur la sécurité) de Cloud Build est l'un des composants solution Software Delivery Shield. Software Delivery Shield est une solution de sécurité sur la chaîne d'approvisionnement logicielle de bout en bout entièrement gérée qui aide d'améliorer la stratégie de sécurité des workflows, des outils et des logiciels les dépendances, les systèmes CI/CD utilisés pour créer et déployer votre logiciel, et l'environnement d'exécution tels que Google Kubernetes Engine et Cloud Run.

Pour découvrir comment utiliser Cloud Build avec d'autres composants Software Delivery Shield pour améliorer la stratégie de sécurité d'approvisionnement logicielle, consultez le document Software Delivery Shield présentation.

Étape suivante

Découvrez comment utiliser Software Delivery Bouclier.
Découvrez les meilleures solutions de sécurité sur la chaîne d'approvisionnement logicielle pratiques.
Découvrez comment stocker et afficher la compilation journaux.
Découvrez comment résoudre les erreurs de compilation.