在 Cloud Deploy 中查看安全性数据分析

本页面介绍如何查看有关您部署的容器映像的安全信息。您可以在 Google Cloud 控制台中 Cloud Deploy 的安全性数据分析侧边栏中查看此信息。

安全性数据分析侧边栏简要介绍了多个安全指标。您可以使用此面板来识别和缓解您部署的映像中的风险。

此面板会显示以下信息：

• SLSA build 级别

  根据软件工件的供应链级别 (SLSA) 规范确定软件构建流程的成熟度级别。

• 漏洞

  列出在您的工件中发现的所有漏洞。

• VEX 状态

  build 工件的漏洞可利用性交流(VEX) 状态。

• SBOM

  build 工件的软件物料清单 (SBOM)。

• 构建详情

  包含有关 build 的信息。

使用要求

安全性数据分析仅适用于满足以下要求的容器映像：

• 必须启用漏洞扫描。

• 在运行 Artifact Analysis 的项目中，必须授予所需的 Identity and Access Management 角色。

• 在版本创建过程中，映像的名称必须通过 SHA 限定。

  如果在 Cloud Deploy 的工件标签页中显示映像时未提供 SHA256 哈希，您可能需要重新构建该映像。

启用漏洞扫描

安全性数据分析面板中显示的信息来自 Artifact Analysis，可能来自 Cloud Build。Artifact Analysis 是一项服务，可按需或自动扫描容器中的基础容器映像、Maven 和 Go 软件包，以及非容器化 Maven 软件包。

如需接收所有可用的安全性数据分析，您必须启用漏洞扫描：

1. 如需启用漏洞扫描，请启用所需的 API。

   启用 API

2. 构建容器映像，并将其存储在 Artifact Registry 中。Artifact Analysis 会自动扫描构建工件。

   漏洞扫描可能需要几分钟时间，具体取决于容器映像的大小。

如需详细了解漏洞扫描，请参阅推送扫描。

扫描会产生费用。如需了解价格信息，请参阅“价格”页面。

授予查看数据分析的权限

如需在 Cloud Deploy 中查看安全性数据分析，您需要此处所述的 IAM 角色或具有同等权限的角色。如果 Artifact Registry 和 Artifact Analysis 在不同的项目中运行，您必须在运行 Artifact Analysis 的项目中添加 Artifact Analysis 事件查看者角色或等效权限。

• Cloud Build Viewer (roles/cloudbuild.builds.viewer)

  查看 build 的数据分析。

• Artifact Analysis Viewer (roles/containeranalysis.occurrences.viewer)

  查看漏洞和其他依赖项信息。

在 Cloud Deploy 中查看安全性数据分析

1. 在 Google Cloud 控制台中打开 Cloud Deploy 交付流水线页面：

   打开交付流水线页面

2. 如有必要，请选择包含您要查看其安全性数据分析的容器映像的流水线和版本所属的项目。

3. 点击交付流水线的名称。

   系统随即会显示交付流水线详细信息。

4. 在交付流水线详情页面中，选择交付容器映像的版本。

5. 在“版本详情”页面上，选择工件标签页。

   选定版本提交的容器列在构建工件下。对于每个容器，安全性数据分析列都有一个数据视图关联。

   

6. 点击您要查看其安全详细信息的工件名称旁边的查看链接。

   此时将显示安全性数据分析面板，其中显示此工件的可用安全信息。以下部分更详细地介绍了此信息。

SLSA 级别

SLSA 是一套行业标准的一套安全准则，适用于软件生产者和使用者。此标准为软件安全性建立了四个级别的信心。

漏洞

漏洞卡片会显示漏洞发生次数、可用修复程序和 build 工件的 VEX 状态。

Artifact Analysis 支持扫描推送到 Artifact Registry 的容器映像。这些扫描可检测操作系统软件包以及在 Python、Node.js、Java (Maven) 或 Go 中创建的应用软件包中的漏洞。

扫描结果按严重级别进行整理。严重级别是根据漏洞被利用的可能性、范围、影响和成熟度进行的定性评估。

点击映像名称可查看已进行漏洞扫描的工件。

对于推送到 Artifact Registry 的每个容器映像，Artifact Analysis 可以存储关联的 VEX 语句。VEX 是一种安全建议，用于指明产品是否受到已知漏洞的影响。

每个 VEX 语句都提供：

• VEX 对账单的发布方
• 编写语句所针对的工件
• 针对任何 CVE 的漏洞评估（VEX 状态）

依赖项

依赖项卡片会显示 SBOM 列表，其中包含依赖项列表。

当您使用 Cloud Build 构建容器映像并将其推送到 Artifact Registry 时，Artifact Analysis 可以为推送的映像生成 SBOM 记录。

SBOM 是应用的完整目录，可标识您的软件依赖的软件包。这些内容可能包括来自供应商的第三方软件、内部工件和开源库。

构建详情

构建详情包括以下内容：

• 指向 Cloud Build 日志的链接

• 构建映像的构建器的名称

• 构建日期/时间

• 构建出处（JSON 格式）

后续步骤

• 详细了解 Software Delivery Shield

• 试用快速入门：将应用部署到 GKE 并查看安全性数据分析

• 试用快速入门：将应用部署到 Cloud Run 并查看安全性数据分析

• 了解软件供应链安全最佳实践。

• 了解如何存储和查看构建日志。