Créer une application et afficher des insights sur la sécurité
Ce guide de démarrage rapide explique comment créer une application et afficher les insights de sécurité pour la compilation dans le panneau Security Insights (Insights de sécurité) de Software Delivery Shield dans la console Google Cloud.
Vous allez :
- Créez et conteneurisez une application Java à l'aide de Cloud Build, puis transférez l'image de conteneur vers le dépôt Docker Artifact Registry.
Consultez les insights de sécurité suivants pour la compilation:
- Niveaux de la chaîne d'approvisionnement pour les artefacts logiciels (SLSA) : identifie le niveau de maturité de votre processus de compilation logiciel conformément à la spécification SLSA .
- Failles des artefacts de compilation.
- Nomenclature logicielle (SBOM) pour les artefacts de compilation
- La provenance de la compilation, qui est une collection de métadonnées vérifiables concernant une compilation. Il inclut des détails tels que les condensés des images compilées, les emplacements des sources d'entrée, la chaîne d'outils de compilation, les étapes de compilation et la durée de compilation.
Avant de commencer
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Create or select a Google Cloud project.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_ID
with a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_ID
with your Google Cloud project name.
-
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Cloud Build, Artifact Registry, and Container Scanning APIs:
gcloud services enable cloudbuild.googleapis.com
artifactregistry.googleapis.com containerscanning.googleapis.com - Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Create or select a Google Cloud project.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_ID
with a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_ID
with your Google Cloud project name.
-
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Cloud Build, Artifact Registry, and Container Scanning APIs:
gcloud services enable cloudbuild.googleapis.com
artifactregistry.googleapis.com containerscanning.googleapis.com
Préparer votre environnement
Définissez votre ID de projet en tant que variable d'environnement :
export PROJECT_ID=$(gcloud config get project)
Clonez le dépôt contenant l'exemple de code Java à compiler et à conteneuriser:
git clone https://github.com/googlecloudplatform/software-delivery-shield-demo-java.git cd software-delivery-shield-demo-java/backend
Créer le dépôt Artifact Registry pour votre image
Créez un dépôt Docker nommé
containers
à l'emplacementus-central1
, avec comme description "dépôt Docker" :gcloud artifacts repositories create containers \ --repository-format=docker \ --location=us-central1 --description="Docker repository"
Vérifiez que votre dépôt a bien été créé :
gcloud artifacts repositories list
containers
devrait s'afficher dans la liste des dépôts affichés.
Compiler l'application
Créer et intégrer en conteneur l'application Java à l'aide de Cloud Build La commande suivante crée et conteneurise l'application Java, puis stocke le conteneur créé dans le dépôt Docker Artifact Registry:
gcloud builds submit --config=cloudbuild.yaml --region=us-central1
Une fois la compilation terminée, un message d'état de réussite semblable à celui-ci s'affiche:
<pre class="none lang-sh">
DONE
-----------------------------------------------------------------------------
ID: 3e08565f-7f57-4449-bc68-51c46cf33d03
CREATE_TIME: 2022-09-19T15:41:07+00:00
DURATION: 54S
SOURCE: gs://sds-docs-project_cloudbuild/source/1663602066.777581-6ebe4b2d6fd741ffa18936d7f78055e9.tgz
IMAGES: us-central1-docker.pkg.dev/sds-docs-project/containers/java-guestbook-backend:quickstart
STATUS: SUCCESS
</pre>
Générer un SBOM pour l'image compilée
Un SBOM est un inventaire complet d'une application, qui identifie les packages sur lesquels repose votre logiciel. Le contenu peut inclure des logiciels tiers de fournisseurs, des artefacts internes et des bibliothèques Open Source.
Générez le SBOM pour l'image que vous avez créée à la section précédente:
gcloud artifacts sbom export
--uri=us-central1-docker.pkg.dev/${PROJECT_ID}/containers/java-guestbook-backend:quickstart
Afficher les insights sur la sécurité
L'interface utilisateur de Cloud Build dans la console Google Cloud contient le panneau Insights de sécurité de Software Delivery Shield. Celui-ci affiche des informations sur la sécurité liées au build, telles que le niveau SLSA, les failles dans les dépendances et la provenance de la compilation.
Pour afficher le panneau Informations sur la sécurité de Software Delivery Shield:
Ouvrez la page Historique de compilation dans la console Google Cloud:
Sélectionnez votre projet et cliquez sur Ouvrir.
Dans le menu déroulant Région, sélectionnez us-central1.
Dans le tableau contenant les compilations, localisez la ligne contenant la compilation que vous venez d'exécuter.
Dans la colonne Insights sur la sécurité, cliquez sur Afficher.
Le panneau Insights sur la sécurité s'affiche pour la compilation:
Ce panneau affiche les informations suivantes:
Niveau SLSA:ce build a atteint le niveau SLSA 3 du programme. Cliquez sur le lien En savoir plus pour connaître la signification de ce niveau de sécurité.
Failles:toutes les failles détectées dans vos artefacts. Cliquez sur le nom de l'image (java-guestbook-backend) pour afficher les artefacts qui ont été analysés pour détecter les failles.
Dépendances pour l'image de conteneur créée dans Artifact Registry
Informations sur la compilation:détails de la compilation, tels que le compilateur et le lien pour afficher les journaux.
Effectuer un nettoyage
Pour éviter que les ressources utilisées sur cette page ne soient facturées sur votre compte Google Cloud, supprimez le projet Google Cloud contenant les ressources.
Désactivez l'API Container Scanning:
gcloud services disable containerscanning.googleapis.com --force
Supprimez le dépôt Artifact Registry:
gcloud artifacts repositories delete containers \ --location=us-central1 --async
Vous avez maintenant supprimé le dépôt que vous avez créé dans ce guide de démarrage rapide.
Étapes suivantes
- En savoir plus sur le panneau des insights de sécurité Software Delivery Shield dans Cloud Build
- Découvrez comment afficher les insights sur la sécurité lors du déploiement sur Cloud Run.
- Découvrez comment afficher les insights sur la sécurité lors du déploiement sur GKE.
- En savoir plus sur Software Delivery Shield