Esta página explica como conferir informações de segurança sobre as imagens de contêiner que você implanta. Confira essas informações no painel Insights de segurança do Cloud Deploy no console do Google Cloud.
O painel lateral Insights de segurança oferece uma visão geral de alto nível de várias métricas de segurança. Use esse painel para identificar e reduzir os riscos nas imagens implantadas.
Esse painel mostra as seguintes informações:
Nível de build da SLSA
Identifica o nível de maturidade do processo de build do software de acordo com a especificação de Níveis da cadeia de suprimentos para artefatos de software (SLSA, na sigla em inglês).
Vulnerabilidades
Lista todas as vulnerabilidades encontradas nos seus artefatos.
Status VEX
Status de vulnerabilidade, exploração e troca(do inglês "Vulnerability, Exploitability, eXchange") para os artefatos de build.
SBOM
Lista de materiais de software (SBOM) para os artefatos de build.
Detalhes do build
Inclui informações sobre o build.
Requisitos
Os insights de segurança estão disponíveis apenas para imagens de contêiner que atendem aos seguintes requisitos:
A verificação de vulnerabilidades precisa estar ativada.
Os papéis necessários do Identity and Access Management precisam ser concedidos no projeto em que o Artifact Analysis está sendo executado.
O nome da imagem, como parte da criação de versão, precisa ser qualificado com SHA.
Se a imagem aparecer na guia Artifacts no Cloud Deploy sem o hash SHA256, talvez seja necessário recriar essa imagem.
Ativar verificação de vulnerabilidades
As informações mostradas no painel Security Insights vêm da Artifact Analysis e possivelmente do Cloud Build. O Artifact Analysis é um serviço que oferece verificação integrada sob demanda ou automática de imagens de contêiner de base, pacotes do Maven e Go em contêineres e de pacotes do Maven não contêinerizados.
Para receber todos os insights de segurança disponíveis, ative a verificação de vulnerabilidades:
Para ativar a verificação de vulnerabilidades, ative as APIs necessárias.
Crie a imagem do contêiner e armazene-a no Artifact Registry. O Artifact Analysis verifica automaticamente os artefatos do build.
A verificação de vulnerabilidade pode levar alguns minutos, dependendo do tamanho da imagem do contêiner.
Para mais informações sobre a verificação de vulnerabilidades, consulte Verificação de vulnerabilidades em push.
Há um custo para a verificação. Consulte a página de preços para mais informações.
Conceder permissões para visualizar insights
Para conferir insights de segurança no Cloud Deploy, você precisa dos papéis do IAM descritos aqui ou de um papel com permissões equivalentes. Se o Artifact Registry e o Artifact Analysis estiverem em execução em projetos diferentes, adicione o papel de leitor de ocorrências do Artifact Analysis ou permissões equivalentes no projeto em que o Artifact Analysis está em execução.
Leitor do Cloud Build (
roles/cloudbuild.builds.viewer)Conferir insights de um build.
Artifact Analysis Viewer (
roles/containeranalysis.occurrences.viewer)Confira vulnerabilidades e outras informações de dependência.
Conferir insights de segurança no Cloud Deploy
Abra a página Pipelines de entrega do Cloud Deploy no console do Google Cloud:
Se necessário, selecione o projeto que inclui o pipeline e a versão que entregou a imagem do contêiner para a qual você quer conferir insights de segurança.
Clique no nome do pipeline de entrega.
Os detalhes do pipeline de entrega são mostrados.
Na página de detalhes do pipeline de entrega, selecione uma versão que entregou a imagem do contêiner.
Na página de detalhes da versão, selecione a guia Artefatos.
Os contêineres que foram entregues pela versão selecionada são listados em Build artifacts. Para cada contêiner, a coluna Insights de segurança inclui um link Visualizar.
Clique no link Visualizar ao lado do nome do artefato cujos detalhes de segurança você quer acessar.
O painel Insights de segurança é exibido, mostrando as informações de segurança disponíveis para esse artefato. As seções a seguir descrevem essas informações em mais detalhes.
Nível da SLSA
A SLSA é um conjunto de diretrizes de segurança padrão do setor para produtores e consumidores de software. Esse padrão estabelece quatro níveis de confiança na segurança do software.
Vulnerabilidades
O card Vulnerabilidades mostra as ocorrências de vulnerabilidade, as correções disponíveis e o status VEX dos artefatos de build.
O Artifact Analysis oferece suporte à verificação de imagens de contêiner enviadas ao Artifact Registry. As verificações detectam vulnerabilidades em pacotes do sistema operacional e em pacotes de aplicativos criados em Python, Node.js, Java (Maven) ou Go.
Os resultados da verificação são organizados por nível de gravidade. O nível de gravidade é uma avaliação qualitativa baseada na capacidade de exploração, escopo, impacto e maturidade da vulnerabilidade.
Clique no nome da imagem para conferir os artefatos que foram verificados quanto a vulnerabilidades.
Para cada imagem de contêiner enviada ao Artifact Registry, o Artifact Analysis pode armazenar uma instrução VEX associada. O VEX é um tipo de aviso de segurança que indica se um produto foi afetado por uma vulnerabilidade conhecida.
Cada instrução VEX fornece:
- O editor da declaração VEX
- O artefato para o qual a instrução é gravada
- A avaliação de vulnerabilidade (status VEX) para todos os CVEs
Dependências
O card Dependências mostra uma lista de SBOMs que inclui uma lista de dependências.
Quando você cria uma imagem de contêiner usando o Cloud Build e a envia para o Artifact Registry, Artifact Analysis pode gerar registros de SBOM para as imagens enviadas.
Um SBOM é um inventário completo de um aplicativo, que identifica os pacotes em que o software depende. O conteúdo pode incluir softwares de terceiros de fornecedores, artefatos internos e bibliotecas de código aberto.
Detalhes do build
Os detalhes do build incluem:
Um link para os registros do Cloud Build
O nome do builder que criou a imagem
A data/hora do build
Criar a origem, no formato JSON
A seguir
Teste o guia de início rápido Implantar um app no GKE e conferir insights de segurança.
Teste o guia de início rápido Implantar um app no Cloud Run e conferir insights de segurança.
Conheça as práticas recomendadas de segurança da cadeia de suprimentos de software.
Saiba como armazenar e visualizar registros de build.