Questa pagina spiega come visualizzare le informazioni sulla sicurezza delle immagini container che esegui il deployment. Puoi visualizzare queste informazioni nel riquadro laterale Approfondimenti sulla sicurezza per Cloud Deploy nella console Google Cloud.
Il riquadro laterale Approfondimenti sulla sicurezza fornisce una panoramica generale di più metriche di sicurezza. Puoi utilizzare questo riquadro per identificare e mitigare i rischi nelle immagini di cui esegui il deployment.
Questo riquadro mostra le seguenti informazioni:
Livello di compilazione SLSA
Identifica il livello di maturità del processo di compilazione del software in conformità con la specifica Supply-chain Levels for Software Artifacts (SLSA).
Vulnerabilità
Elenca le vulnerabilità trovate nell'artefatto o negli artefatti.
Stato VEX
Stato Vulnerability Exploitability eXchange(VEX) per gli elementi della build.
SBOM
Software Bill of Materials (SBOM) per gli elementi di compilazione.
Dettagli build
Include informazioni sulla build.
Requisiti
Gli insight sulla sicurezza sono disponibili solo per le immagini container che soddisfano i seguenti requisiti:
L'analisi delle vulnerabilità deve essere attivata.
I ruoli IAM (Identity and Access Management) necessari devono essere concessi nel progetto in cui viene eseguito l'Artifact Analysis.
Il nome dell'immagine, nell'ambito della creazione della release, deve essere qualificato SHA.
Se l'immagine viene visualizzata nella scheda Elementi in Cloud Deploy senza l'hash SHA256, potrebbe essere necessario ricostruirla.
Abilita scansione delle vulnerabilità
Le informazioni mostrate nel riquadro Approfondimenti sulla sicurezza provengono da Analisi degli elementi e potenzialmente da Cloud Build. Artifact Analysis è un servizio che fornisce la scansione integrata automatica o su richiesta per le immagini container di base, i pacchetti Maven e Go nei container e per i pacchetti Maven non containerizzati.
Per ricevere tutti gli approfondimenti sulla sicurezza disponibili, devi attivare la ricerca di vulnerabilità:
Per attivare l'analisi delle vulnerabilità, abilita le API richieste.
Crea l'immagine container e archiviala in Artifact Registry. Artifact Analysis esegue automaticamente la scansione degli artefatti di compilazione.
L'analisi delle vulnerabilità potrebbe richiedere alcuni minuti, a seconda delle dimensioni dell'immagine del contenitore.
Per ulteriori informazioni sull'analisi delle vulnerabilità, consulta Scansione push.
La scansione è a pagamento. Per informazioni sui prezzi, consulta la pagina dei prezzi.
Concedi le autorizzazioni per visualizzare gli approfondimenti
Per visualizzare gli approfondimenti sulla sicurezza in Cloud Deploy, devi disporre dei ruoli IAM descritti qui o di un ruolo con autorizzazioni equivalenti. Se Artifact Registry e Artifact Analysis vengono eseguiti in progetti diversi, devi aggiungere il ruolo Visualizzatore delle occorrenze di Artifact Analysis o autorizzazioni equivalenti nel progetto in cui viene eseguito Artifact Analysis.
Visualizzatore Cloud Build (
roles/cloudbuild.builds.viewer)Visualizzare gli approfondimenti per una build.
Visualizzatore di analisi degli elementi (
roles/containeranalysis.occurrences.viewer)Visualizza le vulnerabilità e altre informazioni sulle dipendenze.
Visualizzare gli approfondimenti sulla sicurezza in Cloud Deploy
Apri la pagina Pipeline di distribuzione di Cloud Deploy nella console Google Cloud:
Se necessario, seleziona il progetto che include la pipeline e la release che hanno fornito l'immagine contenitore per la quale vuoi visualizzare gli approfondimenti sulla sicurezza.
Fai clic sul nome della pipeline di importazione.
Vengono visualizzati i dettagli della pipeline di distribuzione.
Nella pagina dei dettagli della pipeline di importazione, seleziona una release che ha importato l'immagine container.
Nella pagina Dettagli della release, seleziona la scheda Artefatti.
I contenitori pubblicati dalla release selezionata sono elencati in Elementi di compilazione. Per ogni contenitore, la colonna Approfondimenti sulla sicurezza include un link Visualizza.
Fai clic sul link Visualizza accanto al nome dell'elemento di cui vuoi visualizzare i dettagli di sicurezza.
Viene visualizzato il riquadro Approfondimenti sulla sicurezza, che mostra le informazioni di sicurezza disponibili per questo elemento. Le sezioni seguenti descrivono queste informazioni in modo più dettagliato.
Livello SLSA
SLSA è uno standard di settore che definisce linee guida sulla sicurezza per produttori e consumatori di software. Questo standard stabilisce quattro livelli di confidenza nella sicurezza del tuo software.
Vulnerabilità
La scheda Vulnerabilità mostra le occorrenze delle vulnerabilità, le correzioni disponibili e lo stato VEX per gli artefatti di compilazione.
Artifact Analysis supporta la ricerca di immagini container inviate ad Artifact Registry. Le analisi rilevano vulnerabilità nei pacchetti del sistema operativo e nei pacchetti delle applicazioni creati in Python, Node.js, Java (Maven) o Go.
I risultati della scansione sono organizzati in base al livello di gravità. Il livello di gravità è una valutazione qualitativa basata su sfruttabilità, ambito, impatto e maturità della vulnerabilità.
Fai clic sul nome dell'immagine per visualizzare gli elementi sottoposti a scansione per rilevare vulnerabilità.
Per ogni immagine contenitore di cui viene eseguito il push in Artifact Registry, Artifact Analysis può memorizzare un'istruzione VEX associata. VEX è un tipo di avviso sulla sicurezza che indica se un prodotto è interessato da una vulnerabilità nota.
Ogni istruzione VEX fornisce:
- Il publisher della dichiarazione VEX
- L'elemento per cui è stata scritta l'istruzione
- La valutazione della vulnerabilità (stato VEX) per eventuali CVE
Dipendenze
La scheda Dipendenze mostra un elenco di SBOM che includono un elenco di dipendenze.
Quando crei un'immagine container utilizzando Cloud Build e la invii ad Artifact Registry, Artifact Analysis può generare record SBOM per le immagini inviate.
Un SBOM è un inventario completo di un'applicazione che identifica i pacchetti su cui si basa il software. I contenuti possono includere software di terze parti di fornitori, elementi interni e librerie open source.
Dettagli build
I dettagli della build includono quanto segue:
Un link ai log di Cloud Build
Il nome del builder che ha creato l'immagine
La data e l'ora della compilazione
Costruzione della provenienza, in formato JSON
Passaggi successivi
Prova la guida rapida Esegui il deployment di un'app in GKE e visualizza insight sulla sicurezza
Prova la guida rapida Esegui il deployment di un'app su Cloud Run e visualizza gli insight sulla sicurezza
Scopri le best practice per la sicurezza della catena di fornitura del software.
Scopri come archiviare e visualizzare i log di compilazione.