Créer une application et afficher les insights sur la sécurité

Préparer votre environnement

1. Définissez votre ID de projet en tant que variable d'environnement :

   export PROJECT_ID=$(gcloud config get project)
   

2. Clonez le dépôt contenant l'exemple de code Java à compiler et à conteneuriser:

   git clone https://github.com/googlecloudplatform/software-delivery-shield-demo-java.git
   cd software-delivery-shield-demo-java/backend
   

Créer le dépôt Artifact Registry pour votre image

1. Créez un dépôt Docker nommé containers à l'emplacement us-central1, avec comme description "dépôt Docker" :

   gcloud artifacts repositories create containers \
       --repository-format=docker \
       --location=us-central1 --description="Docker repository"
   

2. Vérifiez que votre dépôt a bien été créé :

   gcloud artifacts repositories list
   

   Vous devriez voir containers dans la liste des dépôts affichés.

Compiler l'application

Créez et conteneurisez l'application Java à l'aide de Cloud Build. La commande suivante compile et intègre l'application Java dans un conteneur, puis stocke le conteneur créé dans le dépôt Docker d'Artifact Registry:

gcloud builds submit --config=cloudbuild.yaml --region=us-central1

Une fois la compilation terminée, un message d'état de réussite semblable au suivant s'affiche:

<pre class="none lang-sh">
DONE
-----------------------------------------------------------------------------
ID: 3e08565f-7f57-4449-bc68-51c46cf33d03
CREATE_TIME: 2022-09-19T15:41:07+00:00
DURATION: 54S
SOURCE: gs://sds-docs-project_cloudbuild/source/1663602066.777581-6ebe4b2d6fd741ffa18936d7f78055e9.tgz
IMAGES: us-central1-docker.pkg.dev/sds-docs-project/containers/java-guestbook-backend:quickstart
STATUS: SUCCESS
</pre>

Générer un SBOM pour l'image créée

Un SBOM est un inventaire complet d'une application, qui identifie les packages sur lesquels votre logiciel s'appuie. Le contenu peut inclure des logiciels tiers de fournisseurs, des artefacts internes et des bibliothèques Open Source.

Générez la liste de composants de l'image que vous avez créée dans la section précédente:

gcloud artifacts sbom export
    --uri=us-central1-docker.pkg.dev/${PROJECT_ID}/containers/java-guestbook-backend:quickstart

Afficher les insights sur la sécurité

L'interface utilisateur de Cloud Build dans la console Google Cloud contient le panneau Insights de sécurité, qui affiche des informations de sécurité liées à la compilation, telles que le niveau SLSA, les failles dans les dépendances et la provenance de la compilation.

Pour afficher le panneau Insights sur la sécurité:

1. Ouvrez la page Historique de compilation dans la console Google Cloud:

   Ouvrir la page "Historique de compilation"

2. Sélectionnez votre projet et cliquez sur Ouvrir.

3. Dans le menu déroulant Région, sélectionnez us-central1.

4. Dans le tableau des builds, recherchez la ligne correspondant au build que vous venez d'exécuter.

5. Dans la colonne Insights sur la sécurité, cliquez sur Afficher.

Le panneau Insights sur la sécurité de la compilation s'affiche:

Ce panneau affiche les informations suivantes:

• Niveau SLSA:ce build a atteint le niveau 3 du SLSA. Cliquez sur le lien En savoir plus pour en savoir plus sur ce niveau de sécurité.

• Failles:failles détectées dans vos artefacts. Cliquez sur le nom de l'image (java-guestbook-backend) pour afficher les artefacts qui ont été analysés pour détecter les failles.

• Dépendances de l'image de conteneur compilée dans Artifact Registry.

• Informations sur le build:détails de la compilation, tels que le compilateur et le lien permettant d'afficher les journaux.