Nesta página, explicamos como ver informações de segurança sobre os builds do Cloud Build usando o painel lateral Insights de segurança no console do Google Cloud.
O painel lateral Insights de segurança fornece uma visão geral de alto nível de várias métricas de segurança. Você pode usar o painel lateral para identificar e mitigar riscos no processo de build.
Esse painel mostra as seguintes informações:
- Nível da cadeia de suprimentos para artefatos de software (SLSA): identifica o nível de maturidade do processo de build do software de acordo com a especificação SLSA. Por exemplo, esse build alcançou o nível 3 da SLSA.
- Vulnerabilidades: uma visão geral de todas as vulnerabilidades encontradas nos seus artefatos e o nome da imagem que o Artifact Analysis verificado. Clique no nome da imagem para visualizar os detalhes da vulnerabilidade. Por exemplo, na captura de tela, clique em java-guestbook-backend.
- Status de vulnerabilidade, exploração e troca(Vulnerability, Exploitability, eXchange) para os artefatos criados.
- Lista de materiais de software (SBOM, na sigla em inglês) para os artefatos de build.
- Detalhes do build: detalhes da versão, como o builder e o link para visualizar os registros.
Ativar verificação de vulnerabilidades
O painel Insights de segurança exibe dados do Cloud Build e do Artifact Analysis. O Artifact Analysis é um serviço que verifica vulnerabilidades em pacotes SO, Java (Maven) e Go quando você faz upload de artefatos de build para o Artifact Registry.
Ative a verificação de vulnerabilidades para receber o conjunto completo de resultados dos insights de segurança.
Ative a API Container Scanning para ativar a verificação de vulnerabilidades.
Execute um build e armazene seu artefato de build no Artifact Registry. O Artifact Analysis verifica automaticamente os artefatos de build.
A verificação de vulnerabilidades pode levar alguns minutos, dependendo do tamanho do build.
Para mais informações sobre a verificação de vulnerabilidades, consulte Verificação automática.
A verificação é cobrada. Consulte informações sobre preços na página de preços.
Conceder permissões para acessar insights
Para visualizar os insights de segurança no console do Google Cloud, você precisa ter os papéis do IAM a seguir ou um papel com permissões equivalentes. Se o Artifact Registry e o Artifact Analysis estiverem em execução em projetos diferentes, adicione o papel de Leitor de ocorrências do Artifact Analysis ou permissões equivalentes ao projeto em que o Artifact Analysis estiver sendo executado.
- Leitor do
Cloud Build
(
roles/cloudbuild.builds.viewer): ver insights de um build. - Leitor
de análise de artefato
(
roles/containeranalysis.occurrences.viewer): visualizar vulnerabilidades e outras informações de dependência.
Mostrar o painel lateral dos insights de segurança
Para ver o painel Insights de segurança, siga estas etapas:
Abra a página Histórico de builds no Console do Google Cloud:
Selecione o projeto e clique em Abrir.
No menu suspenso Região, selecione a região em que você executou o build.
Na tabela com as builds, localize a linha com o build cujos insights de segurança você quer ver.
Na coluna Insights de segurança, clique em Ver.
O painel lateral Insights de segurança será aberto.
[Opcional] Se o build produzir vários artefatos, selecione o artefato com os insights de segurança que você quer ver na caixa suspensa Artefato.
O painel Insights de segurança será exibido para o artefato selecionado.
Nível SLSA
O nível da SLSA avalia o nível de garantia de segurança atual do build com base em um conjunto de diretrizes.
Vulnerabilidades
O card Vulnerabilidades exibe as ocorrências de vulnerabilidade, as correções disponíveis e o status VEX dos artefatos de build.
O Artifact Analysis oferece suporte à verificação de imagens de contêiner enviadas para o Artifact Registry. As verificações detectam vulnerabilidades em pacotes do sistema operacional e em pacotes de aplicativos criados em Java (Maven) ou Go.
Os resultados da verificação são organizados por nível de gravidade. O nível de gravidade é uma avaliação qualitativa baseada na capacidade de exploração, escopo, impacto e maturidade da vulnerabilidade.
Clique no nome da imagem para ver os artefatos que foram verificados em busca de vulnerabilidades.
Para cada imagem de contêiner enviada ao Artifact Registry, o Artifact Analysis pode armazenar uma instrução VEX associada. O VEX é um tipo de alerta de segurança que indica se um produto foi afetado por uma vulnerabilidade conhecida.
Cada instrução VEX fornece:
- O editor da declaração VEX
- O artefato em que a instrução é escrita
- a avaliação de vulnerabilidade (status VEX) para qualquer vulnerabilidade conhecida;
Dependências
O card Dependências mostra uma lista de SBOMs com uma lista de dependências.
Quando você cria uma imagem de contêiner usando o Cloud Build e a envia para o Artifact Registry, o Artifact Analysis pode gerar registros SBOM para as imagens enviadas.
Um SBOM é um inventário completo de um aplicativo que identifica os pacotes de que seu software depende. O conteúdo pode incluir software de terceiros de fornecedores, artefatos internos e bibliotecas de código aberto.
Criar
O card "Build" inclui as seguintes informações:
- Registros: links para as informações do registro do build.
- Builder: nome do builder
- Concluído: tempo decorrido desde a conclusão do build
- Procedência: metadados verificáveis sobre um build
Os metadados de origem incluem detalhes como os resumos das imagens criadas, os locais de origem de entrada, o conjunto de ferramentas, as etapas e a duração da build. Também é possível validar a pronúncia de build a qualquer momento.
Para garantir que as versões futuras incluam informações de procedência, configure o Cloud Build para exigir que suas imagens tenham metadados de procedência.
Usar o Cloud Build com o Software Delivery Shield
O painel lateral Insights de segurança no Cloud Build é um componente da solução Software Delivery Shield. O Software Delivery Shield é uma solução de segurança de ponta a ponta da cadeia de suprimentos de software totalmente gerenciada que ajuda a melhorar a postura de segurança das ferramentas e fluxos de trabalho do desenvolvedor, dependências de software, sistemas de CI/CD usados para criar e implantar seu software e ambientes de execução, como o Google Kubernetes Engine e o Cloud Run.
Para saber como usar o Cloud Build com outros componentes do Software Delivery Shield para melhorar a postura de segurança da sua cadeia de suprimentos de software, consulte a Visão geral do Software Delivery Shield.
A seguir
- Saiba como usar o Software Delivery Shield.
- Conheça as práticas recomendadas de segurança da cadeia de suprimentos de software.
- Saiba como armazenar e ver os registros do build.
- Saiba como resolver erros de build.