Questa pagina spiega come visualizzare le informazioni sulla sicurezza delle immagini container di cui esegui il deployment. Puoi visualizzare queste informazioni nel riquadro laterale Approfondimenti sulla sicurezza per Cloud Deploy nella console Google Cloud.
Il riquadro laterale Approfondimenti sulla sicurezza offre una panoramica generale di diverse metriche di sicurezza. Puoi utilizzare questo riquadro per identificare e mitigare i rischi nelle immagini di cui esegui il deployment.
Questo riquadro mostra le seguenti informazioni:
Livello di build SLSA
Identifica il livello di maturità del processo di compilazione del software in conformità con la specifica SLSA (Supply-chain Levels for Software Artifacts).
Vulnerabilità
Elenca tutte le vulnerabilità trovate nell'artefatto o negli artefatti.
Stato VEX
Stato Vulnerability Exploitability eXchange(VEX) per gli artefatti della build.
SBOM
Fattura software (SBOM) per gli artefatti della build.
Dettagli build
Include informazioni sulla build.
Requisiti
Gli insight sulla sicurezza sono disponibili solo per le immagini container che soddisfano i seguenti requisiti:
L'analisi delle vulnerabilità deve essere abilitata.
I ruoli richiesti per Identity and Access Management nel progetto in cui è in esecuzione Artifact Analysis.
Il nome dell'immagine, nell'ambito della creazione della release, deve essere qualificato SHA.
Se l'immagine viene mostrata nella scheda Elementi in Cloud Deploy senza l'hash SHA256, potrebbe essere necessario ricreare l'immagine.
Abilita scansione delle vulnerabilità
Le informazioni mostrate nel riquadro Approfondimenti sulla sicurezza provengono da Artifact Analysis e potenzialmente da Cloud Build. Artifact Analysis è un servizio che fornisce la scansione integrata on demand o automatica per le immagini container di base, i pacchetti Maven e Go all'interno di container, nonché per i pacchetti Maven non containerizzati.
Per ricevere tutti gli insight sulla sicurezza disponibili, devi abilitare l'analisi delle vulnerabilità:
Per attivare l'analisi delle vulnerabilità, abilita le API richieste.
Crea la tua immagine container e archiviala in Artifact Registry. Artifact Analysis esegue automaticamente la scansione degli artefatti della build.
L'analisi delle vulnerabilità può richiedere alcuni minuti, a seconda delle dimensioni dell'immagine del container.
Per maggiori informazioni sull'analisi delle vulnerabilità, consulta Scansione on-push.
L'analisi prevede un costo. Consulta la pagina dei prezzi per informazioni sui prezzi.
Concedi le autorizzazioni per visualizzare gli approfondimenti
Per visualizzare gli insight sulla sicurezza in Cloud Deploy, devi avere i ruoli IAM descritti qui o un ruolo con autorizzazioni equivalenti. Se Artifact Registry e Artifact Analysis sono in esecuzione in progetti diversi, devi aggiungere il ruolo Visualizzatore occorrenze di Artifact Analysis, o le autorizzazioni equivalenti, nel progetto in cui è in esecuzione Artifact Analysis.
Visualizzatore Cloud Build (
roles/cloudbuild.builds.viewer)Visualizzare gli approfondimenti per una build.
Visualizzatore Artifact Analysis (
roles/containeranalysis.occurrences.viewer)Visualizza le vulnerabilità e altre informazioni sulle dipendenze.
Visualizza insight sulla sicurezza in Cloud Deploy
Apri la pagina pipeline di distribuzione di Cloud Deploy nella console Google Cloud:
Se necessario, seleziona il progetto che include la pipeline e la release che ha caricato l'immagine container per cui vuoi visualizzare gli insight sulla sicurezza.
Fai clic sul nome della pipeline di distribuzione.
Vengono mostrati i dettagli della pipeline di distribuzione.
Nella pagina dei dettagli della pipeline di distribuzione, seleziona una release che ha pubblicato l'immagine container.
Nella pagina dei dettagli della release, seleziona la scheda Artefatti.
I container che sono stati pubblicati dalla release selezionata sono elencati nella sezione Elementi build. Per ogni contenitore, la colonna Approfondimenti sulla sicurezza include un link Visualizza.
Fai clic sul link Visualizza accanto al nome dell'elemento di cui vuoi visualizzare i dettagli di sicurezza.
Viene visualizzato il riquadro Approfondimenti sulla sicurezza, che mostra le informazioni di sicurezza disponibili per questo artefatto. Le seguenti sezioni descrivono queste informazioni in modo più dettagliato.
Livello SLSA
SLSA è una linea guida di sicurezza impostata standard di settore per produttori e consumatori di software. Questo standard stabilisce quattro livelli di fiducia nella sicurezza del tuo software.
Vulnerabilità
La scheda Vulnerabilità mostra le occorrenze di vulnerabilità, le correzioni disponibili e lo stato VEX per gli artefatti della build.
Artifact Analysis supporta l'analisi delle immagini container di cui viene eseguito il push su Artifact Registry. Le analisi rilevano le vulnerabilità nei pacchetti del sistema operativo e nei pacchetti di applicazioni creati in Python, Node.js, Java (Maven) o Go.
I risultati dell'analisi sono organizzati per livello di gravità. Il livello di gravità è una valutazione qualitativa basata su sfruttabilità, ambito, impatto e maturità della vulnerabilità.
Fai clic sul nome dell'immagine per visualizzare gli artefatti analizzati per rilevare eventuali vulnerabilità.
Per ogni immagine container di cui viene eseguito il push su Artifact Registry, Artifact Analysis può archiviare un'istruzione VEX associata. VEX è un tipo di avviso per la sicurezza che indica se un prodotto è interessato da una vulnerabilità nota.
Ogni istruzione VEX fornisce:
- Il publisher della dichiarazione VEX
- L'elemento per il quale è scritta l'istruzione.
- La valutazione delle vulnerabilità (stato VEX) per qualsiasi CVE
Dipendenze
La scheda Dipendenze mostra un elenco di SBOM che includono un elenco di dipendenze.
Quando crei un'immagine container utilizzando Cloud Build e ne esegui il push su Artifact Registry, Artifact Analysis può generare record SBOM per le immagini di cui è stato eseguito il push.
Un SBOM è l'inventario completo di un'applicazione, che identifica i pacchetti su cui si basa il software. I contenuti possono includere software di terze parti di fornitori, artefatti interni e librerie open source.
Dettagli build
I dettagli della build includono:
Un link ai log di Cloud Build
Il nome del builder che ha creato l'immagine
Data/ora della build
Provenienza della build, in formato JSON
Passaggi successivi
Scopri di più su Software Delivery Shield.
Prova la guida rapida Esegui il deployment di un'app in GKE e visualizza insight sulla sicurezza
Prova la guida rapida Esegui il deployment di un'app in Cloud Run e visualizza insight sulla sicurezza
Scopri le best practice per la sicurezza della catena di fornitura del software.
Scopri come archiviare e visualizzare i log di build.