Conferir insights de segurança do build

Nesta página, explicamos como conferir informações de segurança sobre seus builds do Cloud Build usando o painel lateral Insights de segurança no console do Google Cloud.

O painel lateral Insights de segurança oferece uma visão geral de alto nível de várias métricas de segurança. É possível usar o painel lateral para identificar e reduzir os riscos no processo de build.

Painel de insights de segurança

Esse painel mostra as seguintes informações:

  • Níveis da cadeia de suprimentos para artefatos de software (SLSA): identifica o nível de maturidade do processo de build do software de acordo com a especificação SLSA. Por exemplo, este build atingiu o nível 3 da SLSA.
  • Vulnerabilidades: uma visão geral de todas as vulnerabilidades encontradas nos seus artefatos e do nome da imagem que o Artifact Analysis verificou. Clique no nome da imagem para conferir os detalhes da vulnerabilidade. Por exemplo, na captura de tela, você pode clicar em java-guestbook-backend.
  • Status de vulnerabilidade, exploração e troca(VEX) dos artefatos criados.
  • Lista de materiais de software (SBOM) para os artefatos de build.
  • Detalhes do build: detalhes do build, como o builder e o link para visualizar registros.

Para saber como usar o Cloud Build com outros Google Cloud produtos e recursos para melhorar a postura de segurança da sua cadeia de suprimentos de software, consulte Segurança da cadeia de suprimentos de software.

Ativar verificação de vulnerabilidades

O painel Insights de segurança mostra dados do Cloud Build e da Análise de artefatos. O Artifact Analysis é um serviço que verifica vulnerabilidades em pacotes do SO, Java (Maven) e Go quando você faz upload de artefatos de build para o Artifact Registry.

É necessário ativar a verificação de vulnerabilidade para receber o conjunto completo de resultados de insights de segurança.

  1. Ative a API Container Scanning para ativar a verificação de vulnerabilidades.

    Ativar a API Container Scanning

  2. Execute um build e armazene o artefato de build no Artifact Registry. O Artifact Analysis verifica automaticamente os artefatos do build.

A verificação de vulnerabilidade pode levar alguns minutos, dependendo do tamanho do build.

Para mais informações sobre a verificação de vulnerabilidades, consulte Verificação automática.

Há um custo para a verificação. Consulte a página de preços para mais informações.

Conceder permissões para visualizar insights

Para conferir os insights de segurança no console do Google Cloud, é necessário ter os papéis do IAM a seguir ou um papel com permissões equivalentes. Se o Artifact Registry e o Artifact Analysis estiverem executando em projetos diferentes, adicione o papel "Leitor de ocorrências" do Container Analysis ou permissões equivalentes no projeto em que o Artifact Analysis está sendo executado.

Acessar o painel lateral de insights de segurança

Para acessar o painel Insights de segurança:

  1. Abra a página Histórico do build no console do Google Cloud:

    Abrir a página "Histórico de criações"

  2. Selecione o projeto e clique em Abrir.

  3. No menu suspenso Região, selecione a região em que você executou o build.

  4. Na tabela com os builds, localize a linha com o build em que você quer conferir insights de segurança.

  5. Na coluna Insights de segurança, clique em Visualizar.

    O painel lateral Insights de segurança é aberto.

  6. [Opcional] Se o build produzir vários artefatos, selecione o artefato para o qual você quer conferir insights de segurança no menu suspenso Artifact.

    Painel de insights de segurança para builds de vários contêineres

    O painel Insights de segurança é exibido para o artefato selecionado.

Nível da SLSA

O nível de SLSA classifica o nível atual de garantia de segurança do seu build com base em uma coleção de diretrizes.

Vulnerabilidades

O card Vulnerabilidades mostra as ocorrências de vulnerabilidade, as correções disponíveis e o status VEX dos artefatos de build.

O Artifact Analysis oferece suporte à verificação de imagens de contêiner enviadas ao Artifact Registry. As verificações detectam vulnerabilidades em pacotes do sistema operacional e em pacotes de aplicativos criados em Java (Maven) ou Go.

Os resultados da verificação são organizados por nível de gravidade. O nível de gravidade é uma avaliação qualitativa baseada na capacidade de exploração, escopo, impacto e maturidade da vulnerabilidade.

Clique no nome da imagem para conferir os artefatos que foram verificados quanto a vulnerabilidades.

Para cada imagem de contêiner enviada ao Artifact Registry, o Artifact Analysis pode armazenar uma instrução VEX associada. O VEX é um tipo de aviso de segurança que indica se um produto foi afetado por uma vulnerabilidade conhecida.

Cada instrução VEX fornece:

  • O editor da declaração VEX
  • O artefato para o qual a instrução é gravada
  • A avaliação de vulnerabilidade (status VEX) para todas as vulnerabilidades conhecidas

Dependências

O card Dependências mostra uma lista de SBOMs com uma lista de dependências.

Quando você cria uma imagem de contêiner usando o Cloud Build e a envia para o Artifact Registry, a Análise de artefatos pode gerar registros de SBOM para as imagens enviadas.

Um SBOM é um inventário completo de um aplicativo, que identifica os pacotes em que o software depende. O conteúdo pode incluir softwares de terceiros de fornecedores, artefatos internos e bibliotecas de código aberto.

Criar

O card "Build" inclui as seguintes informações:

  • Registros: links para as informações de registro do build.
  • Builder: nome do builder
  • Concluído: tempo decorrido desde a conclusão do build.
  • Procedência: metadados verificáveis sobre um build.

Os metadados de procedência incluem detalhes como resumos das imagens criadas, os locais da origem de entrada, a cadeia de ferramentas de build, as etapas de build e a duração do build. Você também pode validar a origem do build a qualquer momento.

Para garantir que seus builds futuros incluam informações de procedência, configure o Cloud Build para exigir que as imagens tenham metadados de procedência.

A seguir