Nesta página, explicamos como conferir informações de segurança sobre seus builds do Cloud Build usando o painel lateral Insights de segurança no console do Google Cloud.
O painel lateral Insights de segurança oferece uma visão geral de alto nível métricas de segurança. É possível usar o painel lateral para identificar e mitigar riscos em o processo de build.
Esse painel exibe as seguintes informações:
- Nível da cadeia de suprimentos para artefatos de software (SLSA): identifica o nível de maturidade do seu processo de compilação de software de acordo com a SLSA especificação. Por exemplo, este build atingiu o nível 3 da SLSA.
- Vulnerabilidades: uma visão geral de todas as vulnerabilidades encontradas nos seus artefatos e do nome da imagem que o Artifact Analysis verificou. Clique no nome da imagem para ver os detalhes da vulnerabilidade. Para exemplo, na captura de tela, é possível clicar em java-guestbook-backend.
- Status do Vulnerability, Exploitability eXchange(VEX) para os artefatos criados.
- Lista de materiais de software (SBOM) para os artefatos de build.
- Detalhes da versão: detalhes da versão, como o builder e o link para e conferir os registros.
Ativar verificação de vulnerabilidades
O painel Insights de segurança exibe dados do Cloud Build e do Artifact Analysis. O Artifact Analysis é um serviço que verifica vulnerabilidades em pacotes do SO, Java (Maven) e Go quando você faz upload de artefatos de build para o Artifact Registry.
É necessário ativar a verificação de vulnerabilidade para receber o conjunto completo de resultados de insights de segurança.
Ative a API Container Scanning para ativar a verificação de vulnerabilidades.
Execute uma versão e armazene o artefato dela em Artifact Registry. O Artifact Analysis verifica automaticamente os artefatos de build.
A verificação de vulnerabilidades pode levar alguns minutos, dependendo do tamanho do seu ser construído.
Para mais informações sobre a verificação de vulnerabilidades, consulte Verificação automática.
Há um custo para a verificação. Consulte a página de preços para mais informações.
Conceder permissões para visualizar insights
Para acessar os Insights de segurança no console do Google Cloud, você precisa ter o os seguintes papéis do IAM ou com equivalentes. Se o Artifact Registry e o Artifact Analysis em execução em projetos diferentes, é preciso adicionar o Papel de Leitor de ocorrências do Container Analysis ou equivalente no projeto em que o Artifact Analysis está sendo executado.
- Visualizador do
Cloud Build
(
roles/cloudbuild.builds.viewer): confira insights de um build. - Leitor de ocorrências do Container Analysis
(
roles/containeranalysis.occurrences.viewer): visualizar vulnerabilidades e outras informações de dependência.
Acessar o painel lateral de insights de segurança
Para acessar o painel Insights de segurança:
Abra a página Histórico de builds no console do Google Cloud:
Selecione o projeto e clique em Abrir.
No menu suspenso Região, selecione a região em que você executou o build.
Na tabela com os builds, localize a linha com o build para o qual você querem acessar insights de segurança.
Na coluna Insights de segurança, clique em Visualizar.
O painel lateral Insights de segurança é aberto.
[Opcional] Se a versão produzir vários artefatos, selecione o artefato que você quer acessar com insights de segurança no menu suspenso Artefato caixa
O painel Insights de segurança é exibido para o artefato selecionado.
Nível de SLSA
O nível do SLSA classifica o nível atual de garantia de segurança do seu build com base em uma coleção de diretrizes.
Vulnerabilidades
O card Vulnerabilidades mostra as ocorrências de vulnerabilidade. correções disponíveis e o status VEX dos artefatos de compilação.
Análise de artefatos oferece suporte à verificação de imagens de contêiner enviadas ao Artifact Registry. As verificações detectam vulnerabilidades em pacotes do sistema operacional e em pacotes de aplicativos criados em Java (Maven) ou Go.
Os resultados da verificação são organizados por gravidade do Google Workspace. O nível de gravidade é uma avaliação qualitativa baseada na capacidade de exploração, escopo, impacto e maturidade da vulnerabilidade.
Clique no nome da imagem para conferir os artefatos que foram verificados quanto a vulnerabilidades.
Para cada imagem de contêiner enviada para o Artifact Registry, o Artifact Analysis pode armazenar uma instrução VEX associada. O VEX é um tipo de aviso de segurança que indica se um produto foi afetado por uma vulnerabilidade conhecida.
Cada declaração VEX fornece:
- O editor da declaração VEX
- O artefato para o qual a instrução é gravada
- A avaliação de vulnerabilidade (status VEX) de todas as vulnerabilidades conhecidas
Dependências
O card Dependências mostra uma lista de SBOMs com uma lista de dependências.
Quando você cria uma imagem de contêiner usando o Cloud Build e envia no Artifact Registry, o Artifact Analysis pode gerar registros de SBOM para as imagens enviadas.
Uma SBOM é um inventário completo de um aplicativo que identifica os pacotes de que o software depende. O conteúdo pode incluir softwares de terceiros de fornecedores, artefatos internos e bibliotecas de código aberto.
Criar
O card "Build" inclui as seguintes informações:
- Registros: links para as informações de registro da versão.
- Builder: nome do builder
- Concluído: tempo decorrido desde a conclusão do build.
- Procedência: metadados verificáveis sobre um build.
Os metadados de procedência incluem detalhes como os resumos das imagens criadas, os locais de origem de entrada, o conjunto de ferramentas de build, as etapas de build e o duração Também é possível validar o build provenance a qualquer momento.
Para garantir que seus builds futuros incluam informações de procedência, configure o Cloud Build para exigir que as imagens tenham metadados de procedência.
Usar o Cloud Build com o Software Delivery Shield
O painel lateral Insights de segurança no Cloud Build é um componente do com a solução Software Delivery Shield. O Software Delivery Shield é uma solução de segurança de ponta a ponta totalmente gerenciada da cadeia de suprimentos de software que ajuda a melhorar a postura de segurança dos fluxos de trabalho e ferramentas de desenvolvedores, dependências de software, sistemas de CI/CD usados para criar e implantar seu software e ambientes de execução como o Google Kubernetes Engine e o Cloud Run.
Para saber como usar o Cloud Build com outros componentes do Software Delivery Shield para melhorar a postura de segurança da sua cadeia de suprimentos de software, consulte a Visão geral do Software Delivery Shield.
A seguir
- Saiba como usar o Software Delivery Shield.
- Saiba mais sobre as práticas recomendadas de segurança da cadeia de suprimentos de software.
- Saiba como armazenar e visualizar registros de build.
- Saiba como resolver erros de build.