Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.
Guide de démarrage rapide: créer des applications et afficher les insights sur la sécurité

Créer une application et afficher les insights sur la sécurité

Ce guide de démarrage rapide explique comment créer une application et afficher les insights de sécurité associés à cette compilation dans le panneau Insights de sécurité de Software Delivery Shield de Google Cloud Console.

Vous allez :

  • Créez et conteneurisez une application Java à l'aide de Cloud Build, puis transférez l'image de conteneur vers le dépôt Docker Artifact Registry.
  • Affichez les insights de sécurité suivants pour le build:

    • Le niveau SLSA, qui identifie le niveau de maturité de votre processus de compilation logicielle, conformément à la spécification SLSA .
    • Failles dans les artefacts de compilation
    • Provenance de compilation : ensemble de métadonnées vérifiables concernant une compilation Cela inclut des informations telles que les condensés des images compilées, les emplacements sources d'entrée, la chaîne d'outils de compilation, les étapes de compilation et la durée de la compilation.

Avant de commencer

  1. Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.
  2. Installez et initialisez Google Cloud CLI.
  3. Créez ou sélectionnez un projet Google Cloud.

    • Créez un projet Cloud :

      gcloud projects create PROJECT_ID
    • Sélectionnez le projet Cloud que vous avez créé :

      gcloud config set project PROJECT_ID
  4. Assurez-vous que la facturation est activée pour votre projet Cloud. Découvrez comment vérifier si la facturation est activée sur un projet.

  5. Activer les API Cloud Build, Artifact Registry, and Container Scanning :

    gcloud services enable cloudbuild.googleapis.com artifactregistry.googleapis.com containerscanning.googleapis.com
  6. Installez et initialisez Google Cloud CLI.
  7. Créez ou sélectionnez un projet Google Cloud.

    • Créez un projet Cloud :

      gcloud projects create PROJECT_ID
    • Sélectionnez le projet Cloud que vous avez créé :

      gcloud config set project PROJECT_ID
  8. Assurez-vous que la facturation est activée pour votre projet Cloud. Découvrez comment vérifier si la facturation est activée sur un projet.

  9. Activer les API Cloud Build, Artifact Registry, and Container Scanning :

    gcloud services enable cloudbuild.googleapis.com artifactregistry.googleapis.com containerscanning.googleapis.com

Créer un dépôt Docker dans Artifact Registry

  1. Créez un dépôt Docker nommé containers à l'emplacement us-central1, avec comme description "dépôt Docker" :

    gcloud artifacts repositories create containers \
        --repository-format=docker \
        --location=us-central1 --description="Docker repository"
    
  2. Vérifiez que votre dépôt a bien été créé :

    gcloud artifacts repositories list
    

    containers devrait apparaître dans la liste des dépôts affichés.

Préparer un exemple d'application

Vous aurez besoin d'un exemple de code source pour compiler et intégrer en conteneur. Dans cette section, vous allez cloner un dépôt source existant contenant un exemple de code Java.

  1. Clonez le dépôt contenant l'exemple de code Java:

    git clone https://github.com/googlecloudplatform/software-delivery-shield-demo-java.git
    cd software-delivery-shield-demo-java/backend
    

Compiler l'application

  1. Créer et intégrer en conteneur l'application Java à l'aide de Cloud Build La commande suivante compile et conteneurise l'application Java et stocke le conteneur compilé dans le dépôt Docker Artifact Registry:

    gcloud builds submit --config=cloudbuild.yaml --region=us-central1
    

    Une fois la compilation terminée, un message d'état de réussite semblable à celui-ci s'affiche:

    DONE
    -----------------------------------------------------------------------------
    ID: 3e08565f-7f57-4449-bc68-51c46cf33d03
    CREATE_TIME: 2022-09-19T15:41:07+00:00
    DURATION: 54S
    SOURCE: gs://sds-docs-project_cloudbuild/source/1663602066.777581-6ebe4b2d6fd741ffa18936d7f78055e9.tgz
    IMAGES: us-central1-docker.pkg.dev/sds-docs-project/containers/java-guestbook-backend:quickstart
    STATUS: SUCCESS
    

Afficher les insights sur la sécurité

L'interface utilisateur de Cloud Build dans la console Google Cloud contient le panneau Insights de sécurité de Software Delivery Shield qui affiche des informations de sécurité concernant le build, telles que le niveau de sécurité SLSA, les failles des dépendances et la provenance du build.

Pour afficher le panneau Insights de sécurité de Software Delivery Shield:

  1. Ouvrez la page Historique de compilation dans la console Google Cloud.

    Ouvrir la page "Historique de compilation"

  2. Sélectionnez votre projet et cliquez sur Ouvrir.

  3. Dans le menu déroulant Région, sélectionnez us-central1.

  4. Cliquez sur la dernière compilation.

    La page Informations sur le build s'affiche.

  5. Cliquez sur l'onglet Artefacts de compilation.

    Capture d'écran de l'onglet "Artefacts de compilation"

  6. Recherchez la ligne contenant l'image de conteneur que vous venez de créer, puis cliquez sur Afficher dans la colonne Insights sur la sécurité.

    Capture d'écran du bouton "View" (Afficher)

Le panneau Insights de sécurité du build s'affiche.

Capture d'écran du panneau "Software Delivery Shield"

Ce panneau affiche les informations suivantes:

  • Niveau SLSA:ce build a atteint le niveau 3 de SLSA. Cliquez sur le lien En savoir plus pour connaître la signification de ce niveau de sécurité.

  • Failles:failles de vos artefacts. Cliquez sur le nom de l'image (java-guestbook-backend) pour afficher les artefacts analysés pour rechercher les failles.

  • Informations sur la compilation : détails de la compilation, tels que le compilateur et le lien pour afficher les journaux.

  • Origine de la compilation:provenance de la compilation.

Effectuer un nettoyage

Pour éviter que les ressources utilisées sur cette page ne soient facturées sur votre compte Google Cloud, supprimez le projet Cloud contenant les ressources.

  1. Désactiver l'API Container Scanning:

    gcloud services disable containerscanning.googleapis.com --force
    
  2. Supprimez le dépôt Artifact Registry:

    gcloud artifacts repositories delete containers \
        --location=us-central1 --async
    

    Vous avez maintenant supprimé le dépôt que vous avez créé dans le cadre de ce démarrage rapide.

Étapes suivantes