Cette page a été traduite par l'API Cloud Translation.

Afficher les insights sur la sécurité de la compilation

Cette page explique comment afficher des informations de sécurité sur vos compilations Cloud Build à l'aide du panneau latéral Insights de sécurité de la console Google Cloud.

Le panneau latéral Insights sur la sécurité offre un aperçu global de plusieurs métriques de sécurité. Vous pouvez utiliser le panneau latéral pour identifier et atténuer les risques de votre processus de compilation.

Capture d'écran du panneau "Insights sur la sécurité"

Ce panneau affiche les informations suivantes:

Supply-Chain Levels for Software Artifacts (SLSA) Level (Niveaux de la chaîne d'approvisionnement pour les artefacts logiciels, niveau SLSA) : identifie le le niveau de maturité de votre processus de création de logiciels, conformément à la norme SLSA caractéristiques. Par exemple, cette compilation a atteint le niveau 3 de la certification SLSA.
Failles: vue d'ensemble des failles détectées dans votre les artefacts et le nom de l'image Artifact Analysis a analysé. Vous pouvez cliquer sur le nom de l'image pour afficher les détails des failles. Par exemple, dans la capture d'écran, vous pouvez cliquer sur java-guestbook-backend.
État Vulnerability Exploitability eXchange (VEX) pour les artefacts compilés.
Nomenclature logicielle (SBOM) pour les artefacts de compilation.
Informations sur la compilation: informations sur la compilation, telles que le compilateur et le lien vers afficher les journaux.

Activer l'analyse des failles

Le panneau Informations sur la sécurité affiche les données de Cloud Build et de Artifact Analysis. Artifact Analysis est un service qui recherche les failles des packages OS, Java (Maven) et Go lorsque vous importez des artefacts de compilation dans Artifact Registry.

Vous devez activer l'analyse des failles pour recevoir l'ensemble des paramètres de sécurité insights.

Activez l'API Container Scanning pour activer l'analyse des failles.

Activer l'API Container Scanning
Exécutez une compilation et stockez votre artefact de compilation Artifact Registry Artifact Analysis analyse automatiquement les artefacts de compilation.

L'analyse des failles peut prendre quelques minutes, en fonction de la taille de votre build.

Pour en savoir plus sur l'analyse des failles, consultez la section Analyse automatique.

L'analyse est facturée. Pour en savoir plus sur la tarification, consultez la page Tarifs.

Accorder des autorisations pour afficher les insights

Pour afficher les insights sur la sécurité dans la console Google Cloud, vous devez disposer de la les rôles IAM suivants, ou un rôle avec des autorisations équivalentes. Si Artifact Registry et Artifact Analysis s'exécutent dans des projets différents, vous devez ajouter le rôle de lecteur d'occurrences d'analyse de conteneurs ou des autorisations équivalentes dans le projet où Artifact Analysis s'exécute.

Lecteur Cloud Build (roles/cloudbuild.builds.viewer) : affichez les insights d'un build.
Lecteur d'occurrences Container Analysis (roles/containeranalysis.occurrences.viewer) : affichez les failles et d'autres informations sur les dépendances.

Afficher le panneau latéral "Insights sur la sécurité"

Pour afficher le panneau Insights sur la sécurité :

Ouvrez la page Historique de compilation dans la console Google Cloud:

Ouvrir la page Historique de compilation
Sélectionnez votre projet et cliquez sur Ouvrir.
Dans le menu déroulant Région, sélectionnez la région dans laquelle vous avez exécuté votre build.
Dans le tableau contenant les builds, repérez la ligne contenant le build pour lequel pour consulter les insights sur la sécurité.
Dans la colonne Insights sur la sécurité, cliquez sur Afficher.

Le panneau latéral Insights de sécurité s'ouvre.
[Facultatif] Si votre build produit plusieurs artefacts, sélectionnez celui pour lequel vous souhaitez afficher des insights de sécurité dans le menu déroulant Artefact.

Le panneau Insights sur la sécurité s'affiche pour l'artefact sélectionné.

Niveau SLSA

Tarifs du niveau SLSA le niveau d'assurance de sécurité actuel de votre build, en fonction d'un ensemble consignes.

Failles

La fiche Failles affiche les occurrences de failles, les correctifs disponibles et l'état VEX des artefacts de compilation.

Artifact Analysis prend en charge l'analyse des images de conteneurs transférées vers Artifact Registry : Les analyses détectent les vulnérabilités dans les packages de systèmes d’exploitation et les packages d’application que vous avez créés en Java (Maven) ou Go.

Les résultats de l'analyse sont classés par niveau de gravité niveau supérieur. Le niveau de gravité est une évaluation qualitative basée sur l'exploitabilité, le champ d'application, l'impact et la maturité de la faille.

Cliquez sur le nom de l'image pour afficher les artefacts qui ont été analysés. les failles.

Pour chaque image de conteneur transférée vers Artifact Registry, Artifact Analysis peut stocker une instruction VEX associée. VEX est un type d'avis de sécurité qui indique si un produit est affecté par une vulnérabilité connue.

Chaque instruction VEX fournit les éléments suivants :

L'éditeur de la déclaration VEX
Artefact pour lequel l'instruction est écrite
L'évaluation des failles (état VEX) pour toute faille connue

Dépendances

La fiche Dépendances affiche une liste de SBOM avec une liste de les dépendances.

Lorsque vous créez une image de conteneur à l'aide de Cloud Build et que vous la transférez vers Artifact Registry, Artifact Analysis peut générer des enregistrements de SBOM pour les images transférées.

Un SBOM est un inventaire complet d'une application, qui identifie les packages que logiciel. Le contenu peut inclure des logiciels tiers de fournisseurs, les artefacts internes et les bibliothèques Open Source.

Créer

La fiche de compilation contient les informations suivantes :

Journaux : liens vers les informations du journal des versions
Builder (Générateur) : nom du générateur
Terminé : temps écoulé depuis la fin de la compilation
Provenance : métadonnées vérifiables sur un build

Les métadonnées de provenance incluent des détails tels que les condensés des images compilées, les emplacements des sources d'entrée, la chaîne d'outils de compilation, les étapes de compilation et la compilation de la vidéo. Vous pouvez également valider la provenance du build à tout moment.

Pour vous assurer que vos futures compilations incluent des informations de provenance, configurez Cloud Build pour exiger que vos images soient associées à des métadonnées de provenance.

Utiliser Cloud Build avec Software Delivery Shield

Le panneau latéral Security insights (Informations sur la sécurité) de Cloud Build est l'un des composants solution Software Delivery Shield. Software Delivery Shield est une solution de sécurité de la chaîne d'approvisionnement logicielle entièrement gérée de bout en bout qui vous aide à améliorer la posture de sécurité des outils et des workflows de développement, des dépendances logicielles, des systèmes CI/CD utilisés pour créer et déployer vos logiciels, ainsi que des environnements d'exécution tels que Google Kubernetes Engine et Cloud Run.

Pour savoir comment utiliser Cloud Build avec d'autres composants de Software Delivery Shield pour améliorer la stratégie de sécurité de votre chaîne d'approvisionnement logicielle, consultez la page Présentation de Software Delivery Shield.

Étape suivante

Découvrez comment utiliser Software Delivery Shield.
Découvrez les bonnes pratiques de sécurité de la chaîne d'approvisionnement logicielle.
Découvrez comment stocker et afficher la compilation journaux.
Découvrez comment résoudre les erreurs de compilation.