Nesta página, descrevemos como visualizar os insights de segurança da cadeia de suprimentos de software de uma revisão selecionada do Cloud Run e fornecemos detalhes breves para ajudar você a entender o que essas informações revelam sobre a postura de segurança da revisão.
Para saber como usar o Cloud Run com outros produtos e recursos do Google Cloud para melhorar a postura de segurança da sua cadeia de suprimentos de software, consulte Segurança da cadeia de suprimentos de software.
Antes de começar
Você precisa ativar a API Container Scanning para a verificação do contêiner.
Ativar a API Container Scanning
Permissões necessárias
Para acessar os insights de segurança, você precisa das seguintes funções:
- Leitor de ocorrências do Artifact Analysis
- Leitor do Cloud Run
Ver insights de segurança
Clique no serviço de seu interesse para abrir a página Detalhes do serviço.
Clique na guia Revisões e selecione a revisão desejada.
No painel de detalhes à direita, clique na guia Segurança.
Localize a seção Insights de segurança. Esta seção mostra a classificação atual da vulnerabilidade e outros detalhes relacionados à revisão selecionada. Para mais informações sobre esses detalhes, consulte a seção Noções básicas sobre insights de segurança.
Entender os insights de segurança
A seção Insights de segurança mostra as seguintes informações:
- Níveis da cadeia de suprimentos para artefatos de software (SLSA, na sigla em inglês): identifica o nível de maturidade do processo de build do software de acordo com a especificação do SLSA. Veja mais detalhes no site do SLSA .
- Vulnerabilidades: uma visão geral de todas as vulnerabilidades encontradas nos seus artefatos e do nome da imagem verificada pelo Artifact Analysis. Clique no nome da imagem para visualizar os detalhes da vulnerabilidade.
- Detalhes do build: detalhes do build como o builder eo link para visualização de registros.
- Proveniência do build: procedência do build.
A seguir
- Para níveis de SLSA mais altos, configure a implantação contínua.
- Para conferir um exemplo que implanta um serviço do Cloud Run e mostra os insights de segurança desse serviço, consulte o guia de início rápido de segurança da cadeia de suprimentos de software.