Melihat data keamanan build

Halaman ini menjelaskan cara melihat informasi keamanan tentang build Cloud Build menggunakan panel samping Insight keamanan di Konsol Google Cloud.

Panel samping Insight keamanan memberikan ringkasan umum tentang berbagai metrik keamanan. Anda dapat menggunakan panel samping untuk mengidentifikasi dan mengurangi risiko dalam proses build.

Panel ini menampilkan informasi berikut:

• Supply chain Levels for Software Artifacts (SLSA) Level: Mengidentifikasi tingkat kedewasaan proses build software sesuai dengan spesifikasi SLSA. Misalnya, build ini telah mencapai SLSA Level 3.
• Kerentanan: Ringkasan kerentanan yang ditemukan di artefak Anda, dan nama image yang telah dipindai oleh Analisis Artefak. Anda dapat mengklik nama image untuk melihat detail kerentanan. Misalnya, di screenshot, Anda dapat mengklik java-guestbook-backend.
• Status Vulnerability Exploitability eXchange(VEX) untuk artefak yang dibangun.
• Software bill of materials (SBOM) untuk artefak build.
• Build details: Detail build seperti builder dan link untuk melihat log.

Aktifkan pemindaian kerentanan

Panel Security insights menampilkan data dari Cloud Build dan dari Artifact Analysis. Artifact Analysis adalah layanan yang memindai kerentanan dalam paket OS, Java (Maven), dan Go saat Anda mengupload artefak build ke Artifact Registry.

Anda harus mengaktifkan pemindaian kerentanan untuk menerima rangkaian lengkap hasil Insight keamanan.

1. Aktifkan Container Scanning API untuk mengaktifkan pemindaian kerentanan.

   Mengaktifkan Container Scanning API

2. Jalankan build dan simpan artefak build Anda di Artifact Registry. Analisis Artefak secara otomatis memindai artefak build.

Pemindaian kerentanan dapat memerlukan waktu beberapa menit, tergantung ukuran build Anda.

Untuk mengetahui informasi selengkapnya tentang pemindaian kerentanan, lihat Pemindaian otomatis.

Terdapat biaya untuk pemindaian. Lihat halaman Harga untuk mengetahui informasi harga.

Memberikan izin untuk melihat insight

Untuk melihat Insight keamanan di Konsol Google Cloud, Anda harus memiliki peran IAM berikut, atau peran dengan izin yang setara. Jika Artifact Registry dan Artifact Analysis berjalan di project yang berbeda, Anda harus menambahkan peran Container Analysis Occurrences Viewer atau izin yang setara dalam project tempat Artifact Analysis dijalankan.

• Viewer Cloud Build (roles/cloudbuild.builds.viewer): Melihat insight untuk build.
• Container Analysis Occurrences Viewer (roles/containeranalysis.occurrences.viewer): Melihat kerentanan dan informasi dependensi lainnya.

Lihat panel samping Insight keamanan

Untuk melihat panel Insight keamanan:

1. Buka halaman Build History di Konsol Google Cloud:

   Buka halaman Build History

2. Pilih project Anda lalu klik Buka.

3. Di menu drop-down Region, pilih region tempat Anda menjalankan build.

4. Pada tabel yang berisi build, temukan baris dengan build yang ingin Anda lihat insight keamanannya.

5. Di kolom Insight keamanan, klik Lihat.

   Tindakan ini akan membuka panel samping Insight keamanan.

6. [Opsional] Jika build Anda menghasilkan beberapa artefak, pilih artefak yang insight keamanannya ingin Anda lihat dari kotak drop-down Artefak.

   

   Tindakan ini akan menampilkan panel Insight keamanan untuk artefak yang dipilih.

Level SLSA

Tingkat SLSA menilai tingkat jaminan keamanan saat ini untuk build Anda berdasarkan kumpulan panduan.

Kerentanan

Kartu Kerentanan menampilkan kemunculan kerentanan, perbaikan yang tersedia, dan status VEX untuk artefak build.

Artifact Analysis mendukung pemindaian image container yang dikirim ke Artifact Registry. Pemindaian ini mendeteksi kerentanan dalam paket sistem operasi, dan dalam paket aplikasi yang dibuat di Java (Maven) atau Go.

Hasil pemindaian diatur menurut tingkat keparahan. Tingkat keparahan adalah penilaian kualitatif berdasarkan eksploitasi, cakupan, dampak, dan kematangan kerentanan.

Klik nama image untuk melihat artefak yang telah dipindai untuk mendeteksi kerentanan.

Untuk setiap image container yang dikirim ke Artifact Registry, Artifact Analysis dapat menyimpan pernyataan VEX terkait. VEX adalah saran keamanan yang menunjukkan apakah suatu produk dipengaruhi oleh kerentanan yang diketahui.

Setiap pernyataan VEX memberikan:

• Penerbit Pernyataan VEX
• Artefak yang digunakan untuk menulis pernyataan
• Penilaian kerentanan (status VEX) untuk setiap kerentanan yang diketahui

Dependensi

Kartu Dependencies menampilkan daftar SBOM dengan daftar dependensi.

Saat Anda mem-build image container menggunakan Cloud Build dan mengirimkannya ke Artifact Registry, Artifact Analysis dapat membuat data SBOM untuk image yang dikirim.

SBOM adalah inventaris lengkap aplikasi, yang mengidentifikasi paket yang diandalkan software Anda. Kontennya dapat mencakup software pihak ketiga dari vendor, artefak internal, dan library open source.

Membangun

Kartu Build menyertakan informasi berikut:

• Log - link ke informasi log build Anda
• Builder - nama builder
• Completed - waktu berlalu sejak build selesai
• Provenance - metadata yang dapat diverifikasi tentang build

Metadata Provenance mencakup detail seperti ringkasan image yang dibangun, lokasi sumber input, toolchain build, langkah-langkah build, dan durasi build. Anda juga dapat memvalidasi provenance build kapan saja.

Untuk memastikan bahwa build mendatang Anda menyertakan informasi provenance, konfigurasikan Cloud Build untuk mengharuskan image Anda memiliki metadata provenance.

Menggunakan Cloud Build dengan Perlindungan Pengiriman Software

Panel samping Security Insights di Cloud Build adalah salah satu komponen dari solusi Perlindungan Pengiriman Software. Software Delivery Shield adalah solusi keamanan supply chain software menyeluruh yang terkelola sepenuhnya untuk membantu Anda meningkatkan postur keamanan alur kerja dan alat developer, dependensi software, sistem CI/CD yang digunakan untuk membangun dan men-deploy software Anda, serta lingkungan runtime seperti Google Kubernetes Engine dan Cloud Run.

Untuk mempelajari cara menggunakan Cloud Build dengan komponen Perlindungan Pengiriman Software lainnya guna meningkatkan postur keamanan supply chain software Anda, lihat Ringkasan Perlindungan Pengiriman Software.

Langkah selanjutnya

• Pelajari cara menggunakan Software Delivery Shield.
• Pelajari praktik terbaik keamanan supply chain software.
• Pelajari cara menyimpan dan melihat log build.
• Pelajari cara memecahkan masalah error build.