Esta página explica como ver informações de segurança sobre as imagens de contentores que implementa. Pode ver estas informações no painel lateral Estatísticas de segurança do Cloud Deploy na Google Cloud consola.
O painel lateral Estatísticas de segurança oferece uma vista geral de alto nível de várias métricas de segurança. Pode usar este painel para identificar e mitigar riscos nas imagens que implementa.
Este painel apresenta as seguintes informações:
Nível de compilação SLSA
Identifica o nível de maturidade do seu processo de compilação de software de acordo com a especificação dos níveis da cadeia de fornecimento para artefactos de software (SLSA).
Vulnerabilidades
Apresenta todas as vulnerabilidades encontradas no seu artefacto ou artefactos.
Estado da VEX
Estado da Vulnerability Exploitability eXchange(VEX) para os artefactos de compilação.
SBOM
Lista de materiais de software (SBOM) para os artefactos de compilação.
Detalhes da compilação
Inclui informações sobre a compilação.
Requisitos
As estatísticas de segurança só estão disponíveis para imagens de contentores que cumpram os seguintes requisitos:
A análise de vulnerabilidades tem de estar ativada.
As funções de gestão de identidade e de acesso necessárias têm de ser concedidas no projeto onde o Artifact Analysis está a ser executado.
O nome da imagem, como parte da criação do lançamento, tem de ser qualificado pela SHA.
Se a imagem for apresentada no separador Artefactos no Cloud Deploy sem o hash SHA256, pode ter de reconstruir essa imagem.
Ative a análise de vulnerabilidades
As informações apresentadas no painel Estatísticas de segurança provêm da análise de artefactos e potencialmente do Cloud Build. A análise de artefactos é um serviço que oferece análise integrada a pedido ou automática de imagens de contentores base, pacotes Maven e Go em contentores, e pacotes Maven não contentorizados.
Para receber todas as estatísticas de segurança disponíveis, tem de ativar a análise de vulnerabilidades:
Para ativar a análise de vulnerabilidades, ative as APIs necessárias.
Crie a imagem de contentor e armazene-a no Artifact Registry. A análise de artefactos analisa automaticamente os artefactos de compilação.
A análise de vulnerabilidades pode demorar alguns minutos, consoante o tamanho da sua imagem de contentor.
Para mais informações sobre a análise de vulnerabilidades, consulte o artigo Análise no envio.
A digitalização tem um custo. Consulte a página de preços para ver informações de preços.
Conceda autorizações para ver estatísticas
Para ver as estatísticas de segurança no Cloud Deploy, precisa das funções do IAM descritas aqui ou de uma função com autorizações equivalentes. Se o Artifact Registry e a análise de artefactos estiverem a ser executados em projetos diferentes, tem de adicionar a função de leitor de ocorrências da análise de artefactos ou autorizações equivalentes no projeto onde a análise de artefactos está a ser executada.
Leitor do Cloud Build (
roles/cloudbuild.builds.viewer)Veja estatísticas de uma compilação.
Visualizador de análise de artefactos (
roles/containeranalysis.occurrences.viewer)Veja vulnerabilidades e outras informações de dependências.
Veja estatísticas de segurança no Cloud Deploy
Abra a página Pipelines de fornecimento do Cloud Deploy na Google Cloud consola:
Se necessário, selecione o projeto que inclui o pipeline e a versão que enviou a imagem do contentor para a qual quer ver as estatísticas de segurança.
Clique no nome do pipeline de entrega.
São apresentados os detalhes do pipeline de fornecimento.
Na página de detalhes do pipeline de envio, selecione um lançamento que enviou a imagem do contentor.
Na página de detalhes do lançamento, selecione o separador Artefactos.
Os contentores que foram enviados pelo lançamento selecionado são apresentados em Criar artefactos. Para cada contentor, a coluna Estatísticas de segurança inclui um link Ver.
Clique no link Ver junto ao nome do artefacto cujos detalhes de segurança quer ver.
É apresentado o painel Estatísticas de segurança, que mostra as informações de segurança disponíveis para este artefacto. As secções seguintes descrevem estas informações mais detalhadamente.
Nível SLSA
O SLSA é um conjunto de diretrizes de segurança padrão da indústria para produtores e consumidores de software. Esta norma estabelece quatro níveis de confiança na segurança do seu software.
Vulnerabilidades
O cartão Vulnerabilidades mostra as ocorrências de vulnerabilidades, as correções disponíveis e o estado da VEX para os artefactos de compilação.
A análise de artefactos suporta a procura de imagens de contentores enviadas para o Artifact Registry. As análises detetam vulnerabilidades em pacotes do sistema operativo e em pacotes de aplicações criados em Python, Node.js, Java (Maven) ou Go.
Os resultados da análise são organizados por nível de gravidade. O nível de gravidade é uma avaliação qualitativa baseada na capacidade de exploração, no âmbito, no impacto e na maturidade da vulnerabilidade.
Clique no nome da imagem para ver os artefactos que foram analisados quanto a vulnerabilidades.
Para cada imagem de contentor enviada para o Artifact Registry, a Artifact Analysis pode armazenar uma declaração VEX associada. A VEX é um tipo de aviso de segurança que indica se um produto é afetado por uma vulnerabilidade conhecida.
Cada declaração VEX fornece:
- O publicador da declaração VEX
- O artefacto para o qual a declaração é escrita
- A avaliação de vulnerabilidades (estado VEX) para quaisquer CVEs
Dependências
O cartão Dependências apresenta uma lista de SBOMs que incluem uma lista de dependências.
Quando cria uma imagem de contentor com o Cloud Build e a envia para o Artifact Registry, a Artifact Analysis pode gerar registos de SBOM para as imagens enviadas.
Uma SBOM é um inventário completo de uma aplicação que identifica os pacotes dos quais o seu software depende. Os conteúdos podem incluir software de terceiros de fornecedores, artefactos internos e bibliotecas de código aberto.
Detalhes da compilação
Os detalhes da compilação incluem o seguinte:
Um link para os registos do Cloud Build
O nome do criador que criou a imagem
A data/hora de compilação
Crie a proveniência no formato JSON
O que se segue?
Experimente o início rápido Implemente uma app no GKE e veja estatísticas de segurança
Experimente o início rápido Implemente uma app no Cloud Run e veja estatísticas de segurança
Saiba mais sobre as práticas recomendadas de segurança da cadeia de abastecimento de software.
Saiba como armazenar e ver registos de compilação.