Mostrar insights de segurança do build

Nesta página, explicamos como conferir informações de segurança sobre seus builds do Cloud Build usando o painel lateral Insights de segurança no console do Google Cloud.

O painel lateral Insights de segurança oferece uma visão geral de alto nível métricas de segurança. É possível usar o painel lateral para identificar e mitigar riscos em o processo de build.

Captura de tela do painel de insights de segurança

Esse painel exibe as seguintes informações:

  • Nível da cadeia de suprimentos para artefatos de software (SLSA): identifica o nível de maturidade do seu processo de compilação de software de acordo com a SLSA especificação. Por exemplo, este build atingiu o nível 3 da SLSA.
  • Vulnerabilidades: uma visão geral de todas as vulnerabilidades encontradas nos seus artefatos e do nome da imagem que o Artifact Analysis verificou. Clique no nome da imagem para ver os detalhes da vulnerabilidade. Para exemplo, na captura de tela, é possível clicar em java-guestbook-backend.
  • Status do Vulnerability, Exploitability eXchange(VEX) para os artefatos criados.
  • Lista de materiais de software (SBOM) para os artefatos de build.
  • Detalhes da versão: detalhes da versão, como o builder e o link para e conferir os registros.

Ativar verificação de vulnerabilidades

O painel Insights de segurança exibe dados do Cloud Build e do Artifact Analysis. O Artifact Analysis é um serviço que verifica vulnerabilidades em pacotes do SO, Java (Maven) e Go quando você faz upload de artefatos de build para o Artifact Registry.

É necessário ativar a verificação de vulnerabilidade para receber o conjunto completo de resultados de insights de segurança.

  1. Ative a API Container Scanning para ativar a verificação de vulnerabilidades.

    Ativar a API Container Scanning

  2. Execute uma versão e armazene o artefato dela em Artifact Registry. O Artifact Analysis verifica automaticamente os artefatos de build.

A verificação de vulnerabilidades pode levar alguns minutos, dependendo do tamanho do seu ser construído.

Para mais informações sobre a verificação de vulnerabilidades, consulte Verificação automática.

Há um custo para a verificação. Consulte a página de preços para mais informações.

Conceder permissões para visualizar insights

Para acessar os Insights de segurança no console do Google Cloud, você precisa ter o os seguintes papéis do IAM ou com equivalentes. Se o Artifact Registry e o Artifact Analysis em execução em projetos diferentes, é preciso adicionar o Papel de Leitor de ocorrências do Container Analysis ou equivalente no projeto em que o Artifact Analysis está sendo executado.

Acessar o painel lateral de insights de segurança

Para acessar o painel Insights de segurança:

  1. Abra a página Histórico de builds no console do Google Cloud:

    Abrir a página "Histórico de criações"

  2. Selecione o projeto e clique em Abrir.

  3. No menu suspenso Região, selecione a região em que você executou o build.

  4. Na tabela com os builds, localize a linha com o build para o qual você querem acessar insights de segurança.

  5. Na coluna Insights de segurança, clique em Visualizar.

    O painel lateral Insights de segurança é aberto.

  6. [Opcional] Se a versão produzir vários artefatos, selecione o artefato que você quer acessar com insights de segurança no menu suspenso Artefato caixa

    Captura de tela do painel de insights de segurança para builds de vários contêineres

    O painel Insights de segurança é exibido para o artefato selecionado.

Nível de SLSA

O nível do SLSA classifica o nível atual de garantia de segurança do seu build com base em uma coleção de diretrizes.

Vulnerabilidades

O card Vulnerabilidades mostra as ocorrências de vulnerabilidade. correções disponíveis e o status VEX dos artefatos de compilação.

Análise de artefatos oferece suporte à verificação de imagens de contêiner enviadas ao Artifact Registry. As verificações detectam vulnerabilidades em pacotes do sistema operacional e em pacotes de aplicativos criados em Java (Maven) ou Go.

Os resultados da verificação são organizados por gravidade do Google Workspace. O nível de gravidade é uma avaliação qualitativa baseada na capacidade de exploração, escopo, impacto e maturidade da vulnerabilidade.

Clique no nome da imagem para conferir os artefatos que foram verificados quanto a vulnerabilidades.

Para cada imagem de contêiner enviada para o Artifact Registry, o Artifact Analysis pode armazenar uma instrução VEX associada. O VEX é um tipo de aviso de segurança que indica se um produto foi afetado por uma vulnerabilidade conhecida.

Cada declaração VEX fornece:

  • O editor da declaração VEX
  • O artefato para o qual a instrução é gravada
  • A avaliação de vulnerabilidade (status VEX) de todas as vulnerabilidades conhecidas

Dependências

O card Dependências mostra uma lista de SBOMs com uma lista de dependências.

Quando você cria uma imagem de contêiner usando o Cloud Build e envia no Artifact Registry, o Artifact Analysis pode gerar registros de SBOM para as imagens enviadas.

Uma SBOM é um inventário completo de um aplicativo que identifica os pacotes de que o software depende. O conteúdo pode incluir softwares de terceiros de fornecedores, artefatos internos e bibliotecas de código aberto.

Criar

O card "Build" inclui as seguintes informações:

  • Registros: links para as informações de registro da versão.
  • Builder: nome do builder
  • Concluído: tempo decorrido desde a conclusão do build.
  • Procedência: metadados verificáveis sobre um build.

Os metadados de procedência incluem detalhes como os resumos das imagens criadas, os locais de origem de entrada, o conjunto de ferramentas de build, as etapas de build e o duração Também é possível validar o build provenance a qualquer momento.

Para garantir que seus builds futuros incluam informações de procedência, configure o Cloud Build para exigir que as imagens tenham metadados de procedência.

Usar o Cloud Build com o Software Delivery Shield

O painel lateral Insights de segurança no Cloud Build é um componente do com a solução Software Delivery Shield. O Software Delivery Shield é uma solução de segurança de ponta a ponta totalmente gerenciada da cadeia de suprimentos de software que ajuda a melhorar a postura de segurança dos fluxos de trabalho e ferramentas de desenvolvedores, dependências de software, sistemas de CI/CD usados para criar e implantar seu software e ambientes de execução como o Google Kubernetes Engine e o Cloud Run.

Para saber como usar o Cloud Build com outros componentes do Software Delivery Shield para melhorar a postura de segurança da sua cadeia de suprimentos de software, consulte a Visão geral do Software Delivery Shield.

A seguir