Lihat insight keamanan di Cloud Deploy

Halaman ini menjelaskan cara melihat informasi keamanan tentang image container yang Anda deploy. Anda dapat melihat informasi ini di panel samping Insight keamanan untuk Cloud Deploy di Konsol Google Cloud.

Panel samping Insight keamanan memberikan ringkasan umum tentang berbagai metrik keamanan. Anda dapat menggunakan panel ini untuk mengidentifikasi dan memitigasi risiko pada image yang Anda deploy.

Panel ini menampilkan informasi berikut:

Panel insight keamanan di Konsol Google Cloud

Persyaratan

Insight keamanan hanya tersedia untuk image container yang memenuhi persyaratan berikut:

Aktifkan pemindaian kerentanan

Informasi yang ditampilkan di panel Security Insights berasal dari Artifact Analysis dan kemungkinan dari Cloud Build. Artifact Analysis adalah layanan yang menyediakan pemindaian on-demand atau otomatis yang terintegrasi untuk image container dasar, paket Maven, dan Go dalam container, serta untuk paket Maven yang tidak dalam container.

Untuk menerima semua insight keamanan yang tersedia, Anda harus mengaktifkan pemindaian kerentanan:

  1. Untuk mengaktifkan pemindaian kerentanan, aktifkan API yang diperlukan.

    Mengaktifkan API

  2. Bangun image container Anda, lalu simpan di Artifact Registry. Analisis Artefak secara otomatis memindai artefak build.

    Pemindaian kerentanan mungkin memerlukan waktu beberapa menit, bergantung pada ukuran image container Anda.

Untuk mengetahui informasi selengkapnya tentang pemindaian kerentanan, lihat Pemindaian on push.

Terdapat biaya untuk pemindaian. Lihat halaman Harga untuk mengetahui informasi harga.

Memberikan izin untuk melihat insight

Untuk melihat insight keamanan di Cloud Deploy, Anda memerlukan peran IAM yang dijelaskan di sini, atau peran dengan izin yang setara. Jika Artifact Registry dan Artifact Analysis berjalan di project berbeda, Anda harus menambahkan peran Artifact Analysis Occurrences Viewer, atau izin yang setara, dalam project tempat Artifact Analysis dijalankan.

Lihat insight keamanan di Cloud Deploy

  1. Buka halaman Delivery pipelines Cloud Deploy di Konsol Google Cloud:

    Buka halaman pipeline pengiriman

  2. Jika perlu, pilih project yang menyertakan pipeline dan rilis yang mengirimkan image container yang insight keamanannya ingin Anda lihat.

  3. Klik nama pipeline pengiriman.

    Detail pipeline pengiriman ditampilkan.

  4. Dari halaman detail Pipeline pengiriman, pilih rilis yang mengirimkan image container.

  5. Di halaman detail Rilis, pilih tab Artefak.

    Penampung yang dikirim oleh rilis yang dipilih tercantum di bagian Artefak build. Untuk setiap penampung, kolom Insight keamanan menyertakan link View.

    Tab artefak detail rilis, dengan link untuk melihat insight keamanan.

  6. Klik link View di samping nama artefak yang detail keamanannya ingin Anda lihat.

    Panel Insight keamanan akan ditampilkan, yang menampilkan informasi keamanan yang tersedia untuk artefak ini. Bagian berikut menjelaskan informasi ini secara lebih mendetail.

Level SLSA

SLSA adalah panduan keamanan yang ditetapkan standar industri untuk produsen dan konsumen software. Standar ini menetapkan empat tingkat kepercayaan pada keamanan software Anda.

Kerentanan

Kartu Kerentanan menampilkan kemunculan kerentanan, perbaikan yang tersedia, dan status VEX untuk artefak build.

Artifact Analysis mendukung pemindaian image container yang dikirim ke Artifact Registry. Pemindaian ini mendeteksi kerentanan dalam paket sistem operasi, dan dalam paket aplikasi yang dibuat di Python, Node.js, Java (Maven), atau Go.

Hasil pemindaian diatur menurut tingkat keparahan. Tingkat keparahan adalah penilaian kualitatif berdasarkan eksploitasi, cakupan, dampak, dan kematangan kerentanan.

Klik nama image untuk melihat artefak yang telah dipindai untuk mendeteksi kerentanan.

Untuk setiap image container yang dikirim ke Artifact Registry, Artifact Analysis dapat menyimpan pernyataan VEX terkait. VEX adalah saran keamanan yang menunjukkan apakah suatu produk dipengaruhi oleh kerentanan yang diketahui.

Setiap pernyataan VEX memberikan:

  • Penerbit Pernyataan VEX
  • Artefak yang digunakan untuk menulis pernyataan
  • Penilaian kerentanan (status VEX) untuk semua CVE

Dependensi

Kartu Dependencies menampilkan daftar SBOM yang menyertakan daftar dependensi.

Saat Anda mem-build image container menggunakan Cloud Build dan mengirimkannya ke Artifact Registry, Artifact Analysis dapat membuat data SBOM untuk image yang dikirim.

SBOM adalah inventaris lengkap aplikasi, yang mengidentifikasi paket yang diandalkan software Anda. Kontennya dapat mencakup software pihak ketiga dari vendor, artefak internal, dan library open source.

Detail build

Detail build meliputi:

  • Link ke log Cloud Build

  • Nama builder yang membuat image

  • Tanggal/waktu build

  • Buat provenance, dalam format JSON

Langkah selanjutnya