Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Kurzanleitung: Anwendungen erstellen und Sicherheitsinformationen ansehen

Anwendung erstellen und Sicherheitsinformationen ansehen

In dieser Kurzanleitung wird erläutert, wie Sie eine Anwendung erstellen und im Bereich Security Insights (Softwarestatistiken) in der Google Cloud Console Sicherheitsstatistiken für den Build abrufen.

Sie werden Folgendes tun:

  • Mit Cloud Build eine Java-Anwendung erstellen und containerisieren und das Container-Image per Push in das Artifact Registry-Docker-Repository übertragen.
  • Sehen Sie sich die folgenden Sicherheitsinformationen für den Build an:

    • Supply-Chain-Level für Software-Artefakte (SSA): Gibt die Reifestufe Ihres Software-Build-Prozesses gemäß der SLSA-Spezifikation an .
    • Sicherheitslücken in Build-Artefakten
    • Build-Herkunft: Eine Sammlung überprüfbarer Metadaten zu einem Build. Sie enthält Details wie die Digests der erstellten Images, die Speicherorte der Eingabequelle, die Build-Toolchain, die Build-Schritte und die Build-Dauer.

Hinweis

  1. Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
  2. Installieren und initialisieren Sie Google Cloud CLI.
  3. Google Cloud-Projekt erstellen oder auswählen.

    • Cloud-Projekt erstellen:

      gcloud projects create PROJECT_ID
    • Wählen Sie das von Ihnen erstellte Cloud-Projekt aus:

      gcloud config set project PROJECT_ID
  4. Die Abrechnung für das Cloud-Projekt muss aktiviert sein. So prüfen Sie, ob die Abrechnung für ein Projekt aktiviert ist.

  5. Aktivieren Sie die Cloud Build, Artifact Registry, and Container Scanning APIs:

    gcloud services enable cloudbuild.googleapis.com artifactregistry.googleapis.com containerscanning.googleapis.com
  6. Installieren und initialisieren Sie Google Cloud CLI.
  7. Google Cloud-Projekt erstellen oder auswählen.

    • Cloud-Projekt erstellen:

      gcloud projects create PROJECT_ID
    • Wählen Sie das von Ihnen erstellte Cloud-Projekt aus:

      gcloud config set project PROJECT_ID
  8. Die Abrechnung für das Cloud-Projekt muss aktiviert sein. So prüfen Sie, ob die Abrechnung für ein Projekt aktiviert ist.

  9. Aktivieren Sie die Cloud Build, Artifact Registry, and Container Scanning APIs:

    gcloud services enable cloudbuild.googleapis.com artifactregistry.googleapis.com containerscanning.googleapis.com

Docker-Repository in Artifact Registry erstellen

  1. Erstellen Sie am Speicherort us-central1 ein neues Docker-Repository namens containers mit der Beschreibung „Docker repository“:

    gcloud artifacts repositories create containers \
        --repository-format=docker \
        --location=us-central1 --description="Docker repository"
    
  2. Prüfen Sie, ob das Repository erstellt wurde:

    gcloud artifacts repositories list
    

    In der Liste der angezeigten Repositories sollte containers angezeigt werden.

Beispielanwendung vorbereiten

Sie benötigen Beispielcode zum Erstellen und Containerisieren. In diesem Abschnitt klonen Sie ein vorhandenes Quell-Repository, das ein Java-Codebeispiel enthält.

  1. Klonen Sie das Repository, das das Java-Codebeispiel enthält:

    git clone https://github.com/googlecloudplatform/software-delivery-shield-demo-java.git
    cd software-delivery-shield-demo-java/backend
    

Anwendung erstellen

  1. Java-Anwendung mit Cloud Build erstellen und containerisieren Mit dem folgenden Befehl wird die Java-Anwendung erstellt und containerisiert. Außerdem wird der erstellte Container im Artifact Registry-Docker-Repository gespeichert:

    gcloud builds submit --config=cloudbuild.yaml --region=us-central1
    

    Nach Abschluss des Builds wird eine Erfolgsstatusmeldung ähnlich der folgenden angezeigt:

    DONE
    -----------------------------------------------------------------------------
    ID: 3e08565f-7f57-4449-bc68-51c46cf33d03
    CREATE_TIME: 2022-09-19T15:41:07+00:00
    DURATION: 54S
    SOURCE: gs://sds-docs-project_cloudbuild/source/1663602066.777581-6ebe4b2d6fd741ffa18936d7f78055e9.tgz
    IMAGES: us-central1-docker.pkg.dev/sds-docs-project/containers/java-guestbook-backend:quickstart
    STATUS: SUCCESS
    

Sicherheitserkenntnisse ansehen

Die Cloud Build-UI in der Google Cloud Console enthält den Bereich Security Insights (Software Delivery Shield) mit Informationen zum Build, z. B. SLSA-Level, Sicherheitslücken in den Abhängigkeiten und Build-Herkunft.

So rufen Sie das Steuerfeld Software Insights Shield auf:

  1. Öffnen Sie in der Google Cloud Console die Seite Build-Verlauf.

    Zur Seite „Build-Verlauf“

  2. Wählen Sie Ihr Projekt aus und klicken Sie auf Öffnen.

  3. Wählen Sie im Drop-down-Menü Region die Option us-central1 aus.

  4. Klicken Sie auf den neuesten Build.

    Die Seite Build-Details wird angezeigt.

  5. Klicken Sie auf den Tab Build-Artefakte.

    Screenshot des Tabs „Build-Artefakte“

  6. Suchen Sie die Zeile mit dem gerade erstellten Container-Image und klicken Sie in der Spalte Sicherheitsstatistiken auf Ansicht.

    Screenshot der Schaltfläche „Ansehen“

Der Bereich Sicherheitsstatistiken für den Build wird angezeigt.

Screenshot des Steuerfelds „Software Delivery Shield“

In diesem Bereich werden die folgenden Informationen angezeigt:

  • SLSA-Level: Dieser Build hat SLSA-Level 3 erreicht. Klicken Sie auf den Link Weitere Informationen, um zu erfahren, was diese Sicherheitsstufe bedeutet.

  • Sicherheitslücken:Alle in Ihren Artefakten gefundenen Sicherheitslücken. Klicken Sie auf den Image-Namen (java-guestbook-backend), um die Artefakte aufzurufen, die auf Sicherheitslücken gescannt wurden.

  • Build-Details: Details des Builds, z. B. der Builder und der Link zum Aufrufen von Logs.

  • Build-Herkunft:Herkunft des Builds.

Bereinigen

Löschen Sie das Cloud-Projekt mit den Ressourcen, damit Ihrem Google Cloud-Konto die auf dieser Seite verwendeten Ressourcen nicht in Rechnung gestellt werden.

  1. So deaktivieren Sie die Container Scanning API:

    gcloud services disable containerscanning.googleapis.com --force
    
  2. Löschen Sie das Artifact Registry-Repository:

    gcloud artifacts repositories delete containers \
        --location=us-central1 --async
    

    Sie haben nun die Images, die Sie im Rahmen dieses Schnellstarts erstellt haben, gelöscht.

Nächste Schritte