Halaman ini menjelaskan cara melihat informasi keamanan tentang image container yang Anda deploy. Anda dapat melihat informasi ini di panel samping Insight keamanan untuk Cloud Deploy di Konsol Google Cloud.
Panel samping Insight keamanan memberikan ringkasan umum tentang berbagai metrik keamanan. Anda dapat menggunakan panel ini untuk mengidentifikasi dan memitigasi risiko pada image yang Anda deploy.
Panel ini menampilkan informasi berikut:
Level build SLSA
Mengidentifikasi tingkat kematangan proses build software Anda sesuai dengan spesifikasi Supply chain Levels for Software Artifacts (SLSA).
Kerentanan
Mencantumkan semua kerentanan yang ditemukan dalam artefak atau artefak Anda.
Status VEX
Status Vulnerability Exploitability eXchange(VEX) untuk artefak build.
SBOM
Software bill of materials (SBOM) untuk artefak build.
Detail build
Menyertakan informasi tentang build.
Persyaratan
Insight keamanan hanya tersedia untuk image container yang memenuhi persyaratan berikut:
Pemindaian kerentanan harus diaktifkan.
Peran Identity and Access Management yang diperlukan harus diberikan, dalam project tempat Artifact Analysis dijalankan.
Nama image, sebagai bagian dari pembuatan rilis, harus memenuhi syarat SHA.
Jika image ditampilkan di tab Artifacts di Cloud Deploy tanpa hash SHA256, Anda mungkin perlu membangun ulang image tersebut.
Aktifkan pemindaian kerentanan
Informasi yang ditampilkan di panel Security Insights berasal dari Artifact Analysis dan kemungkinan dari Cloud Build. Artifact Analysis adalah layanan yang menyediakan pemindaian on-demand atau otomatis yang terintegrasi untuk image container dasar, paket Maven, dan Go dalam container, serta untuk paket Maven yang tidak dalam container.
Untuk menerima semua insight keamanan yang tersedia, Anda harus mengaktifkan pemindaian kerentanan:
Untuk mengaktifkan pemindaian kerentanan, aktifkan API yang diperlukan.
Bangun image container Anda, lalu simpan di Artifact Registry. Analisis Artefak secara otomatis memindai artefak build.
Pemindaian kerentanan mungkin memerlukan waktu beberapa menit, bergantung pada ukuran image container Anda.
Untuk mengetahui informasi selengkapnya tentang pemindaian kerentanan, lihat Pemindaian on push.
Terdapat biaya untuk pemindaian. Lihat halaman Harga untuk mengetahui informasi harga.
Memberikan izin untuk melihat insight
Untuk melihat insight keamanan di Cloud Deploy, Anda memerlukan peran IAM yang dijelaskan di sini, atau peran dengan izin yang setara. Jika Artifact Registry dan Artifact Analysis berjalan di project berbeda, Anda harus menambahkan peran Artifact Analysis Occurrences Viewer, atau izin yang setara, dalam project tempat Artifact Analysis dijalankan.
Viewer Cloud Build (
roles/cloudbuild.builds.viewer)Melihat insight untuk build.
Artifact Analysis Viewer (
roles/containeranalysis.occurrences.viewer)Lihat kerentanan dan informasi dependensi lainnya.
Lihat insight keamanan di Cloud Deploy
Buka halaman Delivery pipelines Cloud Deploy di Konsol Google Cloud:
Jika perlu, pilih project yang menyertakan pipeline dan rilis yang mengirimkan image container yang insight keamanannya ingin Anda lihat.
Klik nama pipeline pengiriman.
Detail pipeline pengiriman ditampilkan.
Dari halaman detail Pipeline pengiriman, pilih rilis yang mengirimkan image container.
Di halaman detail Rilis, pilih tab Artefak.
Penampung yang dikirim oleh rilis yang dipilih tercantum di bagian Artefak build. Untuk setiap penampung, kolom Insight keamanan menyertakan link View.
Klik link View di samping nama artefak yang detail keamanannya ingin Anda lihat.
Panel Insight keamanan akan ditampilkan, yang menampilkan informasi keamanan yang tersedia untuk artefak ini. Bagian berikut menjelaskan informasi ini secara lebih mendetail.
Level SLSA
SLSA adalah panduan keamanan yang ditetapkan standar industri untuk produsen dan konsumen software. Standar ini menetapkan empat tingkat kepercayaan pada keamanan software Anda.
Kerentanan
Kartu Kerentanan menampilkan kemunculan kerentanan, perbaikan yang tersedia, dan status VEX untuk artefak build.
Artifact Analysis mendukung pemindaian image container yang dikirim ke Artifact Registry. Pemindaian ini mendeteksi kerentanan dalam paket sistem operasi, dan dalam paket aplikasi yang dibuat di Python, Node.js, Java (Maven), atau Go.
Hasil pemindaian diatur menurut tingkat keparahan. Tingkat keparahan adalah penilaian kualitatif berdasarkan eksploitasi, cakupan, dampak, dan kematangan kerentanan.
Klik nama image untuk melihat artefak yang telah dipindai untuk mendeteksi kerentanan.
Untuk setiap image container yang dikirim ke Artifact Registry, Artifact Analysis dapat menyimpan pernyataan VEX terkait. VEX adalah saran keamanan yang menunjukkan apakah suatu produk dipengaruhi oleh kerentanan yang diketahui.
Setiap pernyataan VEX memberikan:
- Penerbit Pernyataan VEX
- Artefak yang digunakan untuk menulis pernyataan
- Penilaian kerentanan (status VEX) untuk semua CVE
Dependensi
Kartu Dependencies menampilkan daftar SBOM yang menyertakan daftar dependensi.
Saat Anda mem-build image container menggunakan Cloud Build dan mengirimkannya ke Artifact Registry, Artifact Analysis dapat membuat data SBOM untuk image yang dikirim.
SBOM adalah inventaris lengkap aplikasi, yang mengidentifikasi paket yang diandalkan software Anda. Kontennya dapat mencakup software pihak ketiga dari vendor, artefak internal, dan library open source.
Detail build
Detail build meliputi:
Link ke log Cloud Build
Nama builder yang membuat image
Tanggal/waktu build
Buat provenance, dalam format JSON
Langkah selanjutnya
Pelajari lebih lanjut Perlindungan Pengiriman Software
Coba panduan memulai Men-deploy aplikasi ke GKE dan melihat insight keamanan
Coba panduan memulai Men-deploy aplikasi ke Cloud Run dan melihat insight keamanan
Pelajari cara menyimpan dan melihat log build.