Sicherheitsinformationen in Cloud Deploy ansehen

Auf dieser Seite wird erläutert, wie Sie Sicherheitsinformationen zu den von Ihnen bereitgestellten Container-Images aufrufen. Sie können diese Informationen in der Google Cloud Console in der Seitenleiste Sicherheitsinformationen für Cloud Deploy ansehen.

Die Seitenleiste Sicherheitsinformationen bietet einen allgemeinen Überblick über mehrere Sicherheitsmesswerte. In diesem Bereich können Sie Risiken in den von Ihnen bereitgestellten Images identifizieren und mindern.

In diesem Bereich werden die folgenden Informationen angezeigt:

• SLSA-Build-Ebene

  Gibt die Reifestufe Ihres Software-Build-Prozesses gemäß der SLSA-Spezifikation (Supply-Chain-Levels for Software Artifacts) an.

• Sicherheitslücken

  Listet alle Sicherheitslücken auf, die in Ihrem Artefakt oder Ihren Artefakten gefunden wurden.

• VEX-Status

  Vulnerability Exploitability eXchange-Status(VEX) für die Build-Artefakte.

• SBOM

  Software Stückliste (Software Bill of Material, SBOM) für die Build-Artefakte.

• Build-Details

  Enthält Informationen zum Build.

Voraussetzungen

Sicherheitsinformationen sind nur für Container-Images verfügbar, die die folgenden Anforderungen erfüllen:

• Das Scannen auf Sicherheitslücken muss aktiviert sein.

• In dem Projekt, in dem die Artefaktanalyse ausgeführt wird, müssen die erforderlichen Rollen für Identity and Access Management gewährt werden.

• Der Name des Images muss bei der Release-Erstellung SHA-qualifiziert sein.

  Wenn das Image in Cloud Deploy auf dem Tab Artifacts (Artefakte) ohne SHA256-Hash angezeigt wird, müssen Sie das Image möglicherweise neu erstellen.

Scannen nach Sicherheitslücken aktivieren

Die Informationen im Bereich Sicherheitsinformationen stammen aus der Artefaktanalyse und möglicherweise aus Cloud Build. Die Artefaktanalyse ist ein Dienst, der integriertes On-Demand- oder automatisiertes Scannen für Basis-Container-Images, Maven- und Go-Pakete in Containern sowie für nicht containerisierte Maven-Pakete bietet.

Damit Sie alle verfügbaren Sicherheitsinformationen erhalten, müssen Sie das Scannen auf Sicherheitslücken aktivieren:

1. Aktivieren Sie die erforderlichen APIs, um das Scannen auf Sicherheitslücken zu aktivieren.

   Aktivieren Sie die APIs

2. Erstellen Sie Ihr Container-Image und speichern Sie es in Artifact Registry. Die Artefaktanalyse scannt automatisch die Build-Artefakte.

   Das Scannen auf Sicherheitslücken kann je nach Größe des Container-Images einige Minuten dauern.

Weitere Informationen zum Scannen auf Sicherheitslücken finden Sie unter On-Push-Scans.

Für das Scannen fallen Kosten an. Preisinformationen finden Sie auf der Preisseite.

Berechtigungen zum Ansehen von Statistiken gewähren

Zum Ansehen von Sicherheitsinformationen in Cloud Deploy benötigen Sie die hier beschriebenen IAM-Rollen oder eine Rolle mit entsprechenden Berechtigungen. Wenn Artifact Registry und Artifact Analysis in verschiedenen Projekten ausgeführt wird, müssen Sie dem Projekt, in dem die Artefaktanalyse ausgeführt wird, die Rolle „Betrachter von Artifact Analysis-Ereignissen“ oder entsprechende Berechtigungen hinzufügen.

• Cloud Build-Betrachter (roles/cloudbuild.builds.viewer)

  Sehen Sie sich Statistiken für einen Build an.

• Artefaktanalyse-Betrachter (roles/containeranalysis.occurrences.viewer)

  Sehen Sie sich Sicherheitslücken und andere Informationen zu Abhängigkeiten an.

Sicherheitsinformationen in Cloud Deploy ansehen

1. Öffnen Sie in der Google Cloud Console die Seite Bereitstellungspipelines von Cloud Deploy:

   Zur Seite mit den Bereitstellungspipelines

2. Wählen Sie bei Bedarf das Projekt mit der Pipeline und dem Release aus, der das Container-Image enthält, für das Sie Sicherheitsinformationen aufrufen möchten.

3. Klicken Sie auf den Namen der Lieferpipeline.

   Die Details zur Bereitstellungspipeline werden angezeigt.

4. Wählen Sie auf der Detailseite der Bereitstellungspipeline einen Release aus, der das Container-Image bereitgestellt hat.

5. Wählen Sie auf der Seite mit den Release-Details den Tab Artefakte aus.

   Container, die vom ausgewählten Release bereitgestellt wurden, werden unter Build-Artefakte aufgeführt. Für jeden Container enthält die Spalte Sicherheitsinformationen einen Link Ansicht.

   

6. Klicken Sie neben dem Namen des Artefakts, dessen Sicherheitsdetails Sie ansehen möchten, auf den Link Ansehen.

   Der Bereich Sicherheitsinformationen wird angezeigt. Er enthält die verfügbaren Sicherheitsinformationen für dieses Artefakt. In den folgenden Abschnitten werden diese Informationen ausführlicher beschrieben.

SLSA-Ebene

SLSA ist ein branchenüblicher Satz von Sicherheitsrichtlinien für Softwarehersteller und -nutzer. Dieser Standard legt vier Stufen Vertrauen in die Sicherheit Ihrer Software fest.

Sicherheitslücken

Die Karte Vulnerabilities (Sicherheitslücken) zeigt das Vorkommen von Sicherheitslücken, die verfügbaren Fehlerkorrekturen und den VEX-Status für die Build-Artefakte.

Die Artefaktanalyse unterstützt das Scannen von Container-Images, die an Artifact Registry übertragen wurden. Dabei werden Sicherheitslücken in Betriebssystempaketen und in Anwendungspaketen erkannt, die in Python, Node.js, Java (Maven) oder Go erstellt wurden.

Die Scanergebnisse sind nach Schweregrad organisiert. Der Schweregrad ist eine qualitative Bewertung basierend auf Ausnutzbarkeit, Umfang, Auswirkung und Reife der Sicherheitslücke.

Klicken Sie auf den Image-Namen, um die Artefakte zu sehen, die auf Sicherheitslücken gescannt wurden.

Für jedes an Artifact Registry übertragene Container-Image kann die Artefaktanalyse eine zugehörige VEX-Anweisung speichern. VEX ist eine Art Sicherheitshinweis, der angibt, ob ein Produkt von einer bekannten Sicherheitslücke betroffen ist.

Jede VEX-Anweisung enthält Folgendes:

• Der Herausgeber der VEX-Erklärung
• Das Artefakt, für das die Anweisung geschrieben wird
• Die Bewertung von Sicherheitslücken (VEX-Status) für alle CVEs

Abhängigkeiten

Auf der Karte Abhängigkeiten wird eine Liste von SBOMs mit einer Liste von Abhängigkeiten angezeigt.

Wenn Sie ein Container-Image mit Cloud Build erstellen und in Artifact Registry übertragen, kann die Artefaktanalyse SBOM-Einträge für die übertragenen Images generieren.

Ein SBOM ist ein vollständiges Inventar einer Anwendung, das die Pakete identifiziert, von denen Ihre Software abhängig ist. Die Inhalte können Drittanbieter-Software von Anbietern, interne Artefakte und Open-Source-Bibliotheken umfassen.

Build-Details

Die Build-Details umfassen Folgendes:

• Ein Link zu den Cloud Build-Logs

• Der Name des Builders, der das Image erstellt hat.

• Datum und Uhrzeit des Builds

• Build-Herkunft im JSON-Format

Nächste Schritte

• Weitere Informationen zu Software Delivery Shield

• Kurzanleitung Anwendung in GKE bereitstellen und Sicherheitsinformationen ansehen

• Kurzanleitung Anwendung in Cloud Run bereitstellen und Sicherheitsinformationen ansehen

• Best Practices für die Sicherheit der Softwarelieferkette

• Build-Logs speichern und ansehen