Cette page explique comment afficher le panneau Software Delivery Shield pour une révision Cloud Run sélectionnée et fournit de brefs détails pour vous aider à comprendre ce que ce panneau révèle sur la révision.
Software Delivery Shield est une solution de sécurité de chaîne d'approvisionnement logicielle entièrement gérée de bout en bout, qui vous permet d'améliorer la stratégie de sécurité des workflows et des outils des développeurs, des dépendances logicielles et des systèmes CI/CD utilisés pour créer et déployer vos logiciels et environnements d'exécution, tels que Google Kubernetes Engine et Cloud Run. Pour en savoir plus, consultez la présentation de Software Delivery Shield.
Avant de commencer
Vous devez activer l'API Container Scanning pour l'analyse des conteneurs.
Activer l'API Container Scanning
Autorisations requises
Pour afficher le panneau Software Delivery Shield, vous avez besoin des rôles suivants :
- Lecteur d'occurrences Artifact Analysis
- Lecteur Cloud Run
Afficher le panneau Software Delivery Shield
Cliquez sur le service qui vous intéresse pour ouvrir la page Informations sur le service.
Cliquez sur l'onglet Révisions, puis sélectionnez la révision de votre choix.
Dans le panneau des détails sur la droite, cliquez sur l'onglet Sécurité.
Recherchez la section Software Delivery Shield. Cette section affiche l'évaluation actuelle des failles et d'autres informations associées pour la révision sélectionnée. Pour en savoir plus sur ces détails, consultez la section Comprendre le panneau Software Delivery Shield.
Comprendre le panneau Software Delivery Shield
Le panneau Software Delivery Shield affiche les informations suivantes :
- Niveaux de la chaîne d'approvisionnement pour les artefacts logiciels (SLSA) : identifie le niveau de maturité de votre processus de compilation logicielle selon la spécification SLSA. Pour en savoir plus, consultez le site Web SLSA.
- Failles : présentation des failles détectées dans vos artefacts, et nom de l'image analysée par Artifact Analysis. Vous pouvez cliquer sur le nom de l'image pour afficher les détails des failles.
- Informations sur le build : détails de la compilation, tels que le compilateur et le lien permettant d'afficher les journaux.
- Provenance de la compilation : provenance de la compilation.
Étapes suivantes
- Pour les niveaux SLSA plus élevés, envisagez de configurer un déploiement continu.
- Pour obtenir un exemple de déploiement d'un service Cloud Run qui vous permet de découvrir les détails Software Delivery Shield pour ce service, consultez le guide de démarrage rapide sur la sécurité de la chaîne d'approvisionnement logicielle.