Visualizar detalhes do Software Delivery Shield

Nesta página, descrevemos como visualizar o painel Software Delivery Shield de uma revisão selecionada do Cloud Run e fornecemos detalhes breves para ajudar você a entender o que esse painel revela para a revisão.

O Software Delivery Shield é uma solução de segurança de cadeia de suprimentos de software completa e totalmente gerenciada que ajuda você a melhorar a segurança dos fluxos de trabalho e ferramentas para desenvolvedores, dependências de software, sistemas de CI/CD usados para criar e implantar o software e ambientes de execução, como o Google Kubernetes Engine e o ambiente de execução do Cloud Run. Para ver mais detalhes, consulte a Visão geral do Software Delivery Shield.

Antes de começar

Você precisa ativar a API Container Scanning para a verificação do contêiner.

Ativar a API Container Scanning

Permissões necessárias

Para acessar o painel do Software Delivery Shield, você precisa das funções a seguir:

• Leitor de ocorrências do Artifact Analysis
• Leitor do Cloud Run

Acessar o painel do Software Delivery Shield

1. Acesse o Cloud Run

2. Clique no serviço de seu interesse para abrir a página Detalhes do serviço.

3. Clique na guia Revisões e selecione a revisão desejada.

4. No painel de detalhes à direita, clique na guia Segurança.

5. Localize a seção Software Delivery Shield. Esta seção mostra a classificação atual da vulnerabilidade e outros detalhes relacionados à revisão selecionada. Para mais informações sobre esses detalhes, consulte a seção Noções básicas sobre o painel do Software Delivery Shield

Noções básicas sobre o painel Software Delivery Shield

O painel Software Delivery Shield mostra as seguintes informações:

• Níveis da cadeia de suprimentos para artefatos de software (SLSA, na sigla em inglês): identifica o nível de maturidade do processo de compilação do software de acordo com a especificação do SLSA. Veja mais detalhes no site do SLSA .
• Vulnerabilidades: uma visão geral de todas as vulnerabilidades encontradas nos seus artefatos e do nome da imagem verificada pelo Artifact Analysis. Clique no nome da imagem para visualizar os detalhes da vulnerabilidade.
• Detalhes do build: detalhes do build como o builder eo link para visualização de registros.
• Proveniência do build: procedência do build.

A seguir

• Para níveis de SLSA mais altos, configure a implantação contínua.
• Para conferir um exemplo que implanta um serviço do Cloud Run e mostra os detalhes do Software Delivery Shield para esse serviço, consulte o guia de início rápido de segurança da cadeia de suprimentos de software.