Afficher des insights sur la sécurité de la chaîne d'approvisionnement logicielle

Cette page explique comment afficher les insights sur la sécurité de la chaîne d'approvisionnement logicielle pour une révision Cloud Run sélectionnée et fournit de brefs détails pour vous aider à comprendre ce que ces informations révèlent sur la posture de sécurité de la révision.

Pour savoir comment utiliser Cloud Run avec d'autres Google Cloud produits et fonctionnalités afin d'améliorer la stratégie de sécurité de votre chaîne d'approvisionnement logicielle, consultez la page Sécurité de la chaîne d'approvisionnement logicielle.

Avant de commencer

Vous devez activer l'API Container Scanning pour l'analyse des conteneurs.

Activer l'API Container Scanning

Autorisations requises

Pour afficher les insights sur la sécurité, vous avez besoin des rôles suivants:

• Lecteur d'occurrences Artifact Analysis
• Lecteur Cloud Run

Afficher les insights sur la sécurité

1. Accédez à Cloud Run

2. Cliquez sur le service qui vous intéresse pour ouvrir la page Informations sur le service.

3. Cliquez sur l'onglet Révisions, puis sélectionnez la révision de votre choix.

4. Dans le panneau des détails sur la droite, cliquez sur l'onglet Sécurité.

5. Recherchez la section Insights sur la sécurité. Cette section affiche l'évaluation actuelle des failles et d'autres informations associées pour la révision sélectionnée. Pour en savoir plus sur ces détails, consultez la section Comprendre les insights de sécurité.

Comprendre les insights de sécurité

La section Insights de sécurité affiche les informations suivantes:

• Niveaux de la chaîne d'approvisionnement pour les artefacts logiciels (SLSA) : identifie le niveau de maturité de votre processus de compilation logicielle selon la spécification SLSA. Pour en savoir plus, consultez le site Web SLSA.
• Failles : présentation des failles détectées dans vos artefacts, et nom de l'image analysée par Artifact Analysis. Vous pouvez cliquer sur le nom de l'image pour afficher les détails des failles.
• Informations sur le build : détails de la compilation, tels que le compilateur et le lien permettant d'afficher les journaux.
• Provenance du build : provenance du build.

Étapes suivantes

• Pour les niveaux SLSA plus élevés, envisagez de configurer un déploiement continu.
• Pour obtenir un exemple de déploiement d'un service Cloud Run qui vous permet de découvrir les insights de sécurité pour ce service, consultez le guide de démarrage rapide sur la sécurité de la chaîne d'approvisionnement logicielle.