Anwendung erstellen und Sicherheitsstatistiken ansehen

Umgebung vorbereiten

1. Legen Sie Ihre Projekt-ID als Umgebungsvariable fest:

   export PROJECT_ID=$(gcloud config get project)
   

2. Klonen Sie das Repository, das das Java-Codebeispiel zum Erstellen und Containerisieren enthält:

   git clone https://github.com/googlecloudplatform/software-delivery-shield-demo-java.git
   cd software-delivery-shield-demo-java/backend
   

Artifact Registry-Repository für Ihr Image erstellen

1. Erstellen Sie ein neues Docker-Repository mit dem Namen containers am Standort us-central1 mit der Beschreibung „Docker repository“:

   gcloud artifacts repositories create containers \
       --repository-format=docker \
       --location=us-central1 --description="Docker repository"
   

2. Prüfen Sie, ob Ihr Repository erstellt wurde:

   gcloud artifacts repositories list
   

   In der Liste der angezeigten Repositories wird containers aufgeführt.

Anwendung erstellen

Erstellen und containerisieren Sie die Java-Anwendung mit Cloud Build. Mit dem folgenden Befehl wird die Java-Anwendung erstellt und containerisiert und der erstellte Container im Docker-Repository von Artifact Registry gespeichert:

gcloud builds submit --config=cloudbuild.yaml --region=us-central1

Nach Abschluss des Builds wird eine Erfolgsmeldung wie die folgende angezeigt:

<pre class="none lang-sh">
DONE
-----------------------------------------------------------------------------
ID: 3e08565f-7f57-4449-bc68-51c46cf33d03
CREATE_TIME: 2022-09-19T15:41:07+00:00
DURATION: 54S
SOURCE: gs://sds-docs-project_cloudbuild/source/1663602066.777581-6ebe4b2d6fd741ffa18936d7f78055e9.tgz
IMAGES: us-central1-docker.pkg.dev/sds-docs-project/containers/java-guestbook-backend:quickstart
STATUS: SUCCESS
</pre>

SBOM für das erstellte Image generieren

Ein SBOM ist ein vollständiges Inventar einer Anwendung, in dem die Pakete aufgeführt sind, auf die Ihre Software angewiesen ist. Der Inhalt kann Software von Drittanbietern, interne Artefakte und Open-Source-Bibliotheken umfassen.

Generieren Sie die SBOM für das Image, das Sie im vorherigen Abschnitt erstellt haben:

gcloud artifacts sbom export
    --uri=us-central1-docker.pkg.dev/${PROJECT_ID}/containers/java-guestbook-backend:quickstart

Sicherheitserkenntnisse ansehen

Die Cloud Build-Benutzeroberfläche in der Google Cloud Console enthält den Bereich Sicherheitsinformationen, in dem Sicherheitsinformationen zum Build angezeigt werden, z. B. die SLSA-Ebene, Sicherheitslücken in den Abhängigkeiten und die Build-Herkunft.

So rufen Sie den Bereich Sicherheitsinformationen auf:

1. Öffnen Sie in der Google Cloud Console die Seite Build-Verlauf:

   Seite „Build-Verlauf“ öffnen

2. Wählen Sie Ihr Projekt aus und klicken Sie auf Öffnen.

3. Wählen Sie im Drop-down-Menü Region die Option us-central1 aus.

4. Suchen Sie in der Tabelle mit den Builds nach der Zeile mit dem Build, den Sie gerade ausgeführt haben.

5. Klicken Sie in der Spalte Sicherheitsstatistiken auf Anzeigen.

Das Steuerfeld Sicherheitsinformationen für den Build wird angezeigt:

In diesem Bereich werden die folgenden Informationen angezeigt:

• SLSA-Ebene:Dieser Build hat die SLSA-Ebene 3 erreicht. Klicken Sie auf den Link Weitere Informationen, um mehr über diese Sicherheitsstufe zu erfahren.

• Sicherheitslücken:Alle in Ihren Artefakten gefundenen Sicherheitslücken. Klicken Sie auf den Image-Namen (java-guestbook-backend), um die Artefakte aufzurufen, die auf Sicherheitslücken geprüft wurden.

• Abhängigkeiten für das erstellte Container-Image in Artifact Registry.

• Build-Details:Details des Builds wie der Builder und der Link zum Aufrufen von Logs.