Cette page explique comment afficher les informations de sécurité concernant les images de conteneurs que vous déployez. Vous pouvez afficher ces informations dans le panneau latéral Insights de sécurité de Cloud Deploy dans la console Google Cloud.
Le panneau latéral Security Insights (Insights sur la sécurité) offre une vue d'ensemble de plusieurs métriques de sécurité. Vous pouvez utiliser ce panneau pour identifier et atténuer les risques liés aux images que vous déployez.
Ce panneau affiche les informations suivantes:
Niveau de compilation SLSA
Identifie le niveau de maturité de votre processus de compilation logiciel conformément à la spécification SLSA (Supply-chain Levels for Software Artifacts).
Failles
Répertorie toutes les failles détectées dans votre artefact ou vos artefacts.
État VEX
État de Vulnerability Exploitability eXchange(VEX) pour les artefacts de compilation.
SBOM
Nomenclature logicielle (SBOM) pour les artefacts de compilation
Informations sur la compilation
Inclut des informations sur la compilation.
Conditions requises
Les insights sur la sécurité ne sont disponibles que pour les images de conteneurs qui répondent aux exigences suivantes:
L'analyse des failles doit être activée.
Vous devez attribuer les rôles Identity and Access Management requis dans le projet où Artifact Analysis est exécuté.
Dans le cadre de la création de la version, le nom de l'image doit être qualifié par l'algorithme SHA.
Si l'image s'affiche dans l'onglet Artefacts de Cloud Deploy sans le hachage SHA256, vous devrez peut-être la recompiler.
Activer l'analyse des failles
Les informations affichées dans le panneau Insights sur la sécurité proviennent d'Artifact Analysis et éventuellement de Cloud Build. Artifact Analysis est un service qui fournit une analyse intégrée à la demande ou automatisée pour les images de conteneurs de base, les packages Maven et Go dans les conteneurs, ainsi que pour les packages Maven non conteneurisés.
Pour recevoir tous les insights de sécurité disponibles, vous devez activer l'analyse des failles:
Pour activer l'analyse des failles, activez les API requises.
Créez votre image de conteneur et stockez-la dans Artifact Registry. Artifact Analysis analyse automatiquement les artefacts de compilation.
L'analyse des failles peut prendre quelques minutes selon la taille de votre image de conteneur.
Pour en savoir plus sur l'analyse des failles, consultez la section Analyse on-push.
L'analyse entraîne des frais. Pour en savoir plus sur les tarifs, consultez la page Tarifs.
Accorder des autorisations pour afficher les insights
Pour afficher les insights sur la sécurité dans Cloud Deploy, vous avez besoin des rôles IAM décrits ici ou d'un rôle doté d'autorisations équivalentes. Si Artifact Registry et Artifact Analysis s'exécutent dans des projets différents, vous devez ajouter le rôle Lecteur d'occurrences Artifact Analysis ou des autorisations équivalentes dans le projet où Artifact Analysis est en cours d'exécution.
Lecteur Cloud Build (
roles/cloudbuild.builds.viewer
)Affichez les insights d'un build.
Lecteur Artifact Analysis (
roles/containeranalysis.occurrences.viewer
)Affichez les failles et d'autres informations sur les dépendances.
Afficher les insights sur la sécurité dans Cloud Deploy
Ouvrez la page Pipelines de livraison de Cloud Deploy dans la console Google Cloud:
Si nécessaire, sélectionnez le projet qui comprend le pipeline et la version qui ont fourni l'image de conteneur pour laquelle vous souhaitez afficher les insights sur la sécurité.
Cliquez sur le nom du pipeline de livraison.
Les détails du pipeline de livraison s'affichent.
Sur la page d'informations du pipeline de livraison, sélectionnez une version qui a envoyé l'image de conteneur.
Sur la page "Informations sur la version", sélectionnez l'onglet Artefacts.
Les conteneurs fournis par la version sélectionnée sont répertoriés sous Artefacts de compilation. Pour chaque conteneur, la colonne Insights sur la sécurité inclut un lien Afficher.
Cliquez sur le lien Afficher à côté du nom de l'artefact dont vous souhaitez afficher les informations de sécurité.
Le panneau Security Insights (Insights sur la sécurité) s'affiche. Il contient les informations de sécurité disponibles pour cet artefact. Les sections suivantes décrivent ces informations plus en détail.
Niveau SLSA
SLSA est un ensemble de consignes de sécurité standard pour les producteurs et les consommateurs de logiciels. Cette norme établit quatre niveaux de confiance dans la sécurité de votre logiciel.
Failles
La fiche Failles indique les occurrences de failles, les correctifs disponibles et l'état VEX des artefacts de compilation.
Artifact Analysis permet d'analyser les images de conteneurs transférées vers Artifact Registry. Les analyses détectent les failles dans les packages de système d'exploitation et d'application créés dans Python, Node.js, Java (Maven) ou Go.
Les résultats de l'analyse sont organisés par niveau de gravité. Le niveau de gravité est une évaluation qualitative basée sur l'exploitabilité, la portée, l'impact et la maturité de la faille.
Cliquez sur le nom de l'image pour afficher les artefacts qui ont été analysés pour rechercher des failles.
Pour chaque image de conteneur transférée vers Artifact Registry, Artifact Analysis peut stocker une instruction VEX associée. VEX est un type d'avis de sécurité qui indique si un produit est affecté par une faille connue.
Chaque instruction VEX fournit:
- Éditeur du relevé VEX
- Artefact pour lequel l'instruction est écrite
- Évaluation des failles (état VEX) de toutes les CVE
Dépendances
La fiche Dépendances affiche une liste de SBOM qui incluent une liste de dépendances.
Lorsque vous créez une image de conteneur à l'aide de Cloud Build et que vous la transférez vers Artifact Registry, Artifact Analysis peut générer des enregistrements SBOM pour les images transférées.
Un SBOM est un inventaire complet d'une application, qui identifie les packages sur lesquels repose votre logiciel. Le contenu peut inclure des logiciels tiers de fournisseurs, des artefacts internes et des bibliothèques Open Source.
Informations sur la compilation
Les informations sur la compilation incluent les éléments suivants:
Un lien vers les journaux Cloud Build
Nom du compilateur qui a créé l'image
Date et heure de la compilation
Provenance de la compilation, au format JSON
Étapes suivantes
En savoir plus sur Software Delivery Shield
Consultez le guide de démarrage rapide Déployer une application sur GKE et afficher des insights sur la sécurité.
Suivez le guide de démarrage rapide Déployer une application sur Cloud Run et afficher des insights sur la sécurité.
Découvrez les bonnes pratiques concernant la sécurité sur la chaîne d'approvisionnement logicielle.
Découvrez comment stocker et afficher les journaux de compilation.