Nesta página, explicamos como ver informações de segurança sobre as imagens de contêiner que você implanta. É possível visualizar essas informações no painel lateral Insights de segurança do Cloud Deploy no console do Google Cloud.
O painel lateral Insights de segurança apresenta informações gerais de várias métricas de segurança. É possível usar esse painel para identificar e mitigar riscos nas imagens implantadas.
Esse painel mostra as seguintes informações:
Nível de build do SLSA
Identifica o nível de maturidade do processo de criação de software de acordo com a especificação de níveis de cadeia de suprimentos para artefatos de software (SLSA, na sigla em inglês).
Vulnerabilidades
Lista todas as vulnerabilidades encontradas no artefato ou nos artefatos.
Status VEX
Status do Vulnerability Exploitability eXchange(VEX) para os artefatos de build.
SBOM
Lista de materiais de software (SBOM, na sigla em inglês) para os artefatos de build.
Detalhes do build
Inclui informações sobre o build.
Requisitos
Os insights de segurança estão disponíveis apenas para imagens de contêiner que atendem aos seguintes requisitos:
A verificação de vulnerabilidades precisa estar ativada.
Os papéis necessários do Identity and Access Management precisam ser concedidos no projeto em que o Artifact Analysis está em execução.
O nome da imagem, como parte da criação da versão, precisa ser qualificado pelo SHA.
Se a imagem for mostrada na guia Artefatos do Cloud Deploy sem o hash SHA256, talvez seja necessário recriar essa imagem.
Ativar verificação de vulnerabilidades
As informações mostradas no painel Insights de segurança vêm do Artifact Analysis e possivelmente do Cloud Build. O Artifact Analysis é um serviço que fornece verificação integrada sob demanda ou automatizada para imagens de contêiner de base e pacotes Maven e Go em contêineres e para pacotes Maven não conteinerizados.
Para receber todos os insights de segurança disponíveis, ative a verificação de vulnerabilidades:
Para ativar a verificação de vulnerabilidades, ative as APIs necessárias.
Crie a imagem do contêiner e armazene-a no Artifact Registry. O Artifact Analysis verifica automaticamente os artefatos de build.
A verificação de vulnerabilidades pode levar alguns minutos, dependendo do tamanho da imagem do contêiner.
Para mais informações sobre a verificação de vulnerabilidades, consulte Verificação por push.
A verificação tem um custo. Consulte a página de preços para mais informações.
Conceder permissões para visualizar insights
Para acessar os insights de segurança no Cloud Deploy, você precisa dos papéis do IAM descritos aqui ou de um papel com permissões equivalentes. Se o Artifact Registry e o Artifact Analysis estiverem em execução em projetos diferentes, será preciso adicionar o papel Leitor de ocorrências do Artifact Analysis ou permissões equivalentes ao projeto em que o Artifact Analysis está em execução.
Leitor do Cloud Build (
roles/cloudbuild.builds.viewer
)Ver insights de um build.
Leitor do Artifact Analysis (
roles/containeranalysis.occurrences.viewer
)Visualizar vulnerabilidades e outras informações de dependência.
Confira insights de segurança no Cloud Deploy
Abra a página Pipelines de entrega do Cloud Deploy no Console do Google Cloud:
Se necessário, selecione o projeto que inclui o pipeline e a versão que entregou a imagem do contêiner cujos insights de segurança você quer ver.
Clique no nome do pipeline de entrega.
Os detalhes do pipeline de entrega são mostrados.
Na página de detalhes do pipeline de entrega, selecione uma versão que forneceu a imagem do contêiner.
Na página "Detalhes da versão", selecione a guia Artefatos.
Os contêineres que foram entregues pela versão selecionada estão listados em Artefatos da versão. Para cada contêiner, a coluna Insights de segurança inclui um link Visualização.
Clique no link Visualizar ao lado do nome do artefato cujos detalhes de segurança você quer visualizar.
O painel Insights de segurança será exibido, mostrando as informações de segurança disponíveis para esse artefato. As seções abaixo descrevem essas informações em mais detalhes.
Nível da SLSA
A SLSA é uma diretriz de segurança padrão do setor para produtores e consumidores de software. Esse padrão estabelece quatro níveis de confiança na segurança do software.
Vulnerabilidades
O card Vulnerabilidades mostra as ocorrências de vulnerabilidade, as correções disponíveis e o status VEX dos artefatos de build.
O Artifact Analysis oferece suporte à verificação de imagens de contêiner enviadas para o Artifact Registry. As verificações detectam vulnerabilidades em pacotes de sistema operacional e em pacotes de aplicativos criados em Python, Node.js, Java (Maven) ou Go.
Os resultados da verificação são organizados por nível de gravidade. O nível de gravidade é uma avaliação qualitativa baseada na capacidade de exploração, escopo, impacto e maturidade da vulnerabilidade.
Clique no nome da imagem para ver os artefatos que foram verificados em busca de vulnerabilidades.
Para cada imagem de contêiner enviada ao Artifact Registry, o Artifact Analysis pode armazenar uma instrução VEX associada. VEX é um tipo de recomendação de segurança que indica se um produto foi afetado por uma vulnerabilidade conhecida.
Cada instrução VEX fornece:
- O editor da declaração VEX
- O artefato em que a instrução foi escrita
- A avaliação de vulnerabilidade (status VEX) de qualquer CVEs
Dependências
O card Dependencies exibe uma lista de SBOMs que incluem uma lista de dependências.
Quando você cria uma imagem de contêiner usando o Cloud Build e a envia para o Artifact Registry, o Artifact Analysis pode gerar registros SBOM para as imagens enviadas.
Um SBOM é um inventário completo de um aplicativo, identificando os pacotes de que seu software depende. O conteúdo pode incluir software de terceiros de fornecedores, artefatos internos e bibliotecas de código aberto.
Detalhes do build
Os detalhes do build incluem o seguinte:
Um link para os registros do Cloud Build
O nome do builder que criou a imagem
A data/hora do build
Proveniência do build, no formato JSON
A seguir
Saiba mais sobre o Software Delivery Shield (em inglês).
Teste o guia de início rápido Implantar um app no GKE e ver insights de segurança
Confira o guia de início rápido Implantar um app no Cloud Run e ver insights de segurança.
Conheça as práticas recomendadas de segurança da cadeia de suprimentos de software.
Saiba como armazenar e visualizar registros de build.