In questa pagina viene spiegato come visualizzare le informazioni di sicurezza relative alle build di Cloud Build utilizzando il riquadro laterale Approfondimenti sulla sicurezza nella console Google Cloud.
Il riquadro laterale Approfondimenti sulla sicurezza fornisce una panoramica generale di diverse metriche di sicurezza. Puoi utilizzare il riquadro laterale per identificare e mitigare i rischi nel processo di compilazione.
In questo riquadro vengono visualizzate le seguenti informazioni:
- Livello della catena di fornitura per gli artefatti software (SLSA): identifica il livello di maturità del processo di compilazione del software in base alla specifica SLSA. Ad esempio, questa build ha raggiunto il livello 3 SLSA.
- Vulnerabilità: una panoramica delle vulnerabilità rilevate negli artefatti e il nome dell'immagine analizzata da Artifact Analysis. Puoi fare clic sul nome dell'immagine per visualizzare i dettagli della vulnerabilità. Ad esempio, nello screenshot puoi fare clic su java-guestbook-backend.
- Stato Vulnerability Exploitability eXchange(VEX) per gli artefatti creati.
- Bill of Material (SBOM) per gli artefatti della build.
- Dettagli build: dettagli della build, ad esempio il builder e il link per visualizzare i log.
Abilita scansione delle vulnerabilità
Il riquadro Approfondimenti sulla sicurezza mostra i dati di Cloud Build e di Artifact Analysis. Artifact Analysis è un servizio che analizza le vulnerabilità nei pacchetti del sistema operativo, Java (Maven) e Go quando carichi gli artefatti di build in Artifact Registry.
Devi abilitare l'analisi delle vulnerabilità per ricevere il set completo di risultati degli insight sulla sicurezza.
Abilita l'API Container Scanning per attivare l'analisi delle vulnerabilità.
Esegui una build e archivia il tuo artefatto della build in Artifact Registry. Artifact Analysis esegue automaticamente la scansione degli artefatti della build.
L'analisi delle vulnerabilità può richiedere alcuni minuti, a seconda delle dimensioni della build.
Per ulteriori informazioni sull'analisi delle vulnerabilità, consulta Scansione automatica.
La scansione è a pagamento. Per informazioni sui prezzi, consulta la pagina Prezzi.
Concedi le autorizzazioni per visualizzare gli insight
Per visualizzare gli Approfondimenti sulla sicurezza nella console Google Cloud, devi disporre dei seguenti ruoli IAM o di un ruolo con autorizzazioni equivalenti. Se Artifact Registry e Artifact Analysis sono in esecuzione in progetti diversi, devi aggiungere il ruolo Visualizzatore occorrenze di Container Analysis o autorizzazioni equivalenti nel progetto in cui è in esecuzione Artifact Analysis.
- Visualizzatore
Cloud Build
(
roles/cloudbuild.builds.viewer): visualizza insight per una build. - Visualizzatore occorrenze Container Analysis
(
roles/containeranalysis.occurrences.viewer): visualizza vulnerabilità e altre informazioni sulle dipendenze.
Visualizza il riquadro laterale degli insight sulla sicurezza
Per visualizzare il riquadro Approfondimenti sulla sicurezza:
Apri la pagina Cronologia build nella console Google Cloud:
Seleziona il progetto e fai clic su Apri.
Nel menu a discesa Regione, seleziona la regione in cui hai eseguito la build.
Nella tabella con le build, individua la riga con la build per la quale vuoi visualizzare insight sulla sicurezza.
Nella colonna Approfondimenti sulla sicurezza fai clic su Visualizza.
Si apre il riquadro laterale Approfondimenti sulla sicurezza.
[Facoltativo] Se la build produce più artefatti, seleziona l'artefatto per il quale vuoi visualizzare gli insight sulla sicurezza dalla casella a discesa Artefatto.
Viene visualizzato il riquadro Approfondimenti sulla sicurezza per l'artefatto selezionato.
Livello SLSA
Il livello SLSA valuta l'attuale livello di garanzia della sicurezza della build in base a una raccolta di linee guida.
Vulnerabilità
La scheda Vulnerabilità mostra le occorrenze di vulnerabilità, le correzioni disponibili e lo stato VEX degli artefatti della build.
Artifact Analysis supporta l'analisi delle immagini container di cui è stato eseguito il push su Artifact Registry. Le analisi rilevano le vulnerabilità nei pacchetti del sistema operativo e in pacchetti di applicazioni creati in Java (Maven) o Go.
I risultati dell'analisi sono organizzati per livello di gravità. Il livello di gravità è una valutazione qualitativa basata su sfruttabilità, ambito, impatto e maturità della vulnerabilità.
Fai clic sul nome dell'immagine per visualizzare gli artefatti di cui è stata eseguita l'analisi per rilevare eventuali vulnerabilità.
Per ogni immagine container di cui è stato eseguito il push in Artifact Registry, Artifact Analysis può archiviare un'istruzione VEX associata. VEX è un tipo di avviso di sicurezza che indica se un prodotto è interessato da una vulnerabilità nota.
Ogni istruzione VEX fornisce:
- L'editore della Dichiarazione VEX
- L'artefatto per il quale viene scritta l'istruzione
- La valutazione delle vulnerabilità (stato VEX) per le vulnerabilità note
Dipendenze
La scheda Dipendenze mostra un elenco di SBOM con un elenco di dipendenze.
Quando crei un'immagine container con Cloud Build ed esegui il push su Artifact Registry, Artifact Analysis può generare record SBOM per le immagini sottoposte a push.
Un SBOM è un inventario completo di un'applicazione, che identifica i pacchetti su cui si basa il tuo software. I contenuti possono includere software di terze parti di fornitori, artefatti interni e librerie open source.
Creare
La scheda Build include le seguenti informazioni:
- Log: link alle informazioni dei log della build
- Builder: nome del costruttore
- Completato: tempo trascorso dal completamento della build
- Provenienza: metadati verificabili su una build
I metadati di provenienza includono dettagli come la sintesi delle immagini create, le località dell'origine di input, la toolchain di build, i passaggi della build e la durata della build. Puoi anche convalidare la provenienza della build in qualsiasi momento.
Per assicurarti che le build future includano informazioni sulla provenienza, configura Cloud Build in modo da richiedere che le immagini abbiano metadati di provenienza.
Utilizza Cloud Build con Software Delivery Shield
Il riquadro laterale Approfondimenti sulla sicurezza in Cloud Build è un componente della soluzione Software Delivery Shield. Software Delivery Shield è una soluzione di sicurezza per la catena di fornitura del software end-to-end completamente gestita che aiuta a migliorare la security posture dei flussi di lavoro e degli strumenti degli sviluppatori, le dipendenze software, i sistemi CI/CD utilizzati per creare ed eseguire il deployment del software e gli ambienti di runtime come Google Kubernetes Engine e Cloud Run.
Per scoprire come utilizzare Cloud Build con altri componenti di Software Delivery Shield per migliorare la strategia di sicurezza della catena di fornitura del software, consulta la panoramica di Software Delivery Shield.
Passaggi successivi
- Scopri come utilizzare Software Delivery Shield.
- Scopri le best practice per la sicurezza della catena di fornitura del software.
- Scopri come archiviare e visualizzare i log di build.
- Scopri come risolvere gli errori di build.