Conferir insights de segurança da cadeia de suprimentos de software

Nesta página, descrevemos como visualizar os insights de segurança da cadeia de suprimentos de software de uma revisão selecionada do Cloud Run e fornecemos detalhes breves para ajudar você a entender o que essas informações revelam sobre a postura de segurança da revisão.

Para saber como usar o Cloud Run com outros produtos e recursos do Google Cloud para melhorar a postura de segurança da sua cadeia de suprimentos de software, consulte Segurança da cadeia de suprimentos de software.

Antes de começar

Você precisa ativar a API Container Scanning para a verificação do contêiner.

Ativar a API Container Scanning

Permissões necessárias

Para acessar os insights de segurança, você precisa das seguintes funções:

  • Leitor de ocorrências do Artifact Analysis
  • Leitor do Cloud Run

Ver insights de segurança

  1. Acessar o Cloud Run

  2. Clique no serviço de seu interesse para abrir a página Detalhes do serviço.

  3. Clique na guia Revisões e selecione a revisão desejada.

  4. No painel de detalhes à direita, clique na guia Segurança.

  5. Localize a seção Insights de segurança. Esta seção mostra a classificação atual da vulnerabilidade e outros detalhes relacionados à revisão selecionada. Para mais informações sobre esses detalhes, consulte a seção Noções básicas sobre insights de segurança.

Entender os insights de segurança

A seção Insights de segurança mostra as seguintes informações:

  • Níveis da cadeia de suprimentos para artefatos de software (SLSA, na sigla em inglês): identifica o nível de maturidade do processo de build do software de acordo com a especificação do SLSA. Veja mais detalhes no site do SLSA .
  • Vulnerabilidades: uma visão geral de todas as vulnerabilidades encontradas nos seus artefatos e do nome da imagem verificada pelo Artifact Analysis. Clique no nome da imagem para visualizar os detalhes da vulnerabilidade.
  • Detalhes do build: detalhes do build como o builder eo link para visualização de registros.
  • Proveniência do build: procedência do build.

A seguir