Nesta página, explicamos como ver informações de segurança sobre as imagens de contêiner que você implanta. É possível ver essas informações no painel lateral Insights de segurança do Cloud Deploy no console do Google Cloud.
O painel lateral Insights de segurança fornece uma visão geral de alto nível de várias métricas de segurança. É possível usar esse painel para identificar e mitigar riscos nas imagens implantadas.
Esse painel mostra as seguintes informações:
Nível de build SLSA
Identifica o nível de maturidade do processo de criação de software de acordo com a especificação Níveis da cadeia de suprimentos para artefatos de software (SLSA).
Vulnerabilidades
Lista todas as vulnerabilidades encontradas no artefato ou nos artefatos.
Status VEX
Status de vulnerabilidade, exploração e troca(Vulnerability, Exploitability, eXchange) para os artefatos de build.
SBOM
Lista de materiais de software (SBOM, na sigla em inglês) para os artefatos de build.
Detalhes do build
Inclui informações sobre o build.
Requisitos
Os insights de segurança estão disponíveis apenas para imagens de contêiner que atendem aos seguintes requisitos:
A verificação de vulnerabilidades precisa estar ativada.
Os papéis necessários do Identity and Access Management precisam ser concedidos no projeto em que o Artifact Analysis está sendo executado.
O nome da imagem, como parte da criação da versão, precisa ser qualificado para SHA.
Se a imagem for exibida na guia Artefatos no Cloud Deploy sem o hash SHA256, talvez seja necessário recriar essa imagem.
Ativar verificação de vulnerabilidades
As informações mostradas no painel Insights de segurança provêm do Artifact Analysis e, possivelmente, do Cloud Build. O Artifact Analysis é um serviço que oferece verificação integrada sob demanda ou automatizada para imagens de contêiner de base, pacotes Maven e Go em contêineres e pacotes Maven não conteinerizados.
Para receber todos os insights de segurança disponíveis, é necessário ativar a verificação de vulnerabilidades:
Para ativar a verificação de vulnerabilidades, ative as APIs necessárias.
Crie a imagem de contêiner e armazene-a no Artifact Registry. O Artifact Analysis verifica automaticamente os artefatos de build.
A verificação de vulnerabilidades pode levar alguns minutos, dependendo do tamanho da imagem do contêiner.
Para mais informações sobre a verificação de vulnerabilidades, consulte Verificação por push.
A verificação é cobrada. Consulte informações sobre preços na página de preços.
Conceder permissões para acessar insights
Para ver os insights de segurança no Cloud Deploy, é preciso ter os papéis do IAM descritos aqui ou um papel com permissões equivalentes. Se o Artifact Registry e o Artifact Analysis estiverem em execução em projetos diferentes, será necessário adicionar o papel "Leitor de ocorrências do Artifact Analysis" ou permissões equivalentes ao projeto em que o Artifact Analysis estiver em execução.
Leitor do Cloud Build (
roles/cloudbuild.builds.viewer)Conferir insights de um build.
Leitor do Artifact Analysis (
roles/containeranalysis.occurrences.viewer)Visualize vulnerabilidades e outras informações de dependência.
Ver insights de segurança no Cloud Deploy
Abra a página Pipelines de entrega do Cloud Deploy no Console do Google Cloud:
Se necessário, selecione o projeto que inclui o pipeline e a versão que entregou a imagem do contêiner cujos insights de segurança você quer visualizar.
Clique no nome do pipeline de entrega.
Os detalhes do pipeline de entrega são mostrados.
Na página de detalhes do pipeline de entrega, selecione uma versão que entregou a imagem do contêiner.
Na página "Detalhes da versão", selecione a guia Artefatos.
Os contêineres que foram entregues pela versão selecionada estão listados em Artefatos de build. Para cada contêiner, a coluna Insights de segurança inclui um link Visualizar.
Clique no link Visualizar ao lado do nome do artefato cujos detalhes de segurança você quer ver.
O painel Insights de segurança é exibido, mostrando as informações de segurança disponíveis para esse artefato. As seções abaixo descrevem essas informações em mais detalhes.
Nível SLSA
SLSA é um conjunto de diretrizes de segurança padrão do setor para produtores e consumidores de software. Esse padrão estabelece quatro níveis de confiança na segurança do software.
Vulnerabilidades
O card Vulnerabilidades mostra as ocorrências de vulnerabilidade, as correções disponíveis e o status VEX dos artefatos de build.
O Artifact Analysis oferece suporte à verificação de imagens de contêiner enviadas para o Artifact Registry. As verificações detectam vulnerabilidades em pacotes do sistema operacional e em pacotes de aplicativos criados em Python, Node.js, Java (Maven) ou Go.
Os resultados da verificação são organizados por nível de gravidade. O nível de gravidade é uma avaliação qualitativa baseada na capacidade de exploração, escopo, impacto e maturidade da vulnerabilidade.
Clique no nome da imagem para ver os artefatos que foram verificados em busca de vulnerabilidades.
Para cada imagem de contêiner enviada ao Artifact Registry, o Artifact Analysis pode armazenar uma instrução VEX associada. O VEX é um tipo de alerta de segurança que indica se um produto foi afetado por uma vulnerabilidade conhecida.
Cada instrução VEX fornece:
- O editor da declaração VEX
- O artefato em que a instrução é escrita
- a avaliação de vulnerabilidade (status VEX) de qualquer CVEs
Dependências
O card Dependências exibe uma lista de SBOMs que inclui uma lista de dependências.
Quando você cria uma imagem de contêiner usando o Cloud Build e a envia para o Artifact Registry, o Artifact Analysis pode gerar registros SBOM para as imagens enviadas.
Um SBOM é um inventário completo de um aplicativo que identifica os pacotes de que seu software depende. O conteúdo pode incluir software de terceiros de fornecedores, artefatos internos e bibliotecas de código aberto.
Detalhes do build
Os detalhes do build incluem o seguinte:
Um link para os registros do Cloud Build
O nome do builder que criou a imagem
A data/hora do build
Proveniência do build, no formato JSON
A seguir
Saiba mais sobre o Software Delivery Shield (em inglês).
Siga o guia de início rápido Implantar um app no GKE e conferir insights de segurança
Siga o guia de início rápido Implantar um app no Cloud Run e ver insights de segurança.
Conheça as práticas recomendadas de segurança da cadeia de suprimentos de software.
Saiba como armazenar e visualizar registros de build.