Implementa en Cloud Run y visualiza estadísticas de seguridad

Establece la configuración predeterminada

1. Establece una variable de entorno para el ID del proyecto:

   export PROJECT_ID=$(gcloud config get project)
   

2. Configura la región predeterminada para Cloud Deploy:

   gcloud config set deploy/region us-central1
   

Otorgar acceso

Otorga funciones de IAM a la cuenta de servicio predeterminada de Compute Engine. Esto es necesario para Cloud Deploy para implementar cargas de trabajo en Cloud Run.

 gcloud projects add-iam-policy-binding $PROJECT_ID \
     --member=serviceAccount:$(gcloud projects describe $PROJECT_ID \
     --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
     --role="roles/clouddeploy.jobRunner"
 gcloud iam service-accounts add-iam-policy-binding $(gcloud projects describe $PROJECT_ID \
     --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
     --member=serviceAccount:$(gcloud projects describe $PROJECT_ID \
     --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
     --role="roles/iam.serviceAccountUser" \
     --project=$PROJECT_ID
 gcloud projects add-iam-policy-binding $PROJECT_ID \
     --member=serviceAccount:$(gcloud projects describe $PROJECT_ID \
     --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
     --role="roles/run.developer"

Si tienes problemas para agregar cualquiera de estos roles, comunícate con el administrador de tu proyecto.

Crea un repositorio de Docker en Artifact Registry

1. Crea un nuevo repositorio de Docker llamado containers en la ubicación us-central1 con la descripción “Repositorio de Docker”:

   gcloud artifacts repositories create containers --repository-format=docker \
       --location=us-central1 --description="Docker repository"
   

2. Verifica que se haya creado el repositorio:

   gcloud artifacts repositories list
   

   Deberías ver containers en la lista de imágenes de Cloud Storage.

Prepara la aplicación de ejemplo

Necesitarás un código fuente de muestra para compilar e implementar. En esta sección clonarás un repositorio de código fuente existente que contiene una muestra de código de Java.

1. Clona el repositorio que contiene la muestra de código de Java:

   git clone https://github.com/googlecloudplatform/software-delivery-shield-demo-java.git
   cd software-delivery-shield-demo-java/backend
   

2. Actualiza cloudrun.clouddeploy.yaml para reemplazar PROJECT_ID por el ID de tu proyecto:

   sed -i "s/PROJECT_ID/${PROJECT_ID}/g" cloudrun.clouddeploy.yaml
   

Compila la aplicación

1. Compila y crea contenedores para la aplicación de Java con Cloud Build. El siguiente comando compila y aloja en contenedores la aplicación de Java y almacena las contenedor compilado en el repositorio de Docker de Artifact Registry:

   gcloud builds submit --config=cloudbuild.yaml --region=us-central1
   

   Cuando se complete la compilación, verás un mensaje de estado de éxito similar al lo siguiente:

   DONE
   -----------------------------------------------------------------------------
   ID: 3e08565f-7f57-4449-bc68-51c46cf33d03
   CREATE_TIME: 2022-09-19T15:41:07+00:00
   DURATION: 54S
   SOURCE: gs://sds-docs-project_cloudbuild/source/1663602066.777581-6ebe4b2d6fd741ffa18936d7f78055e9.tgz
   IMAGES: us-central1-docker.pkg.dev/sds-docs-project/containers/java-guestbook-backend:quickstart
   STATUS: SUCCESS
   

Genera SBOM para la imagen compilada

Una SBOM es un inventario completo de una aplicación que identifica los paquetes y en las que se basa tu software. El contenido puede incluir software de terceros de artefactos internos y bibliotecas de código abierto.

Genera la SBOM para la imagen que compilaste en la sección anterior:

gcloud artifacts sbom export \
    --uri=us-central1-docker.pkg.dev/${PROJECT_ID}/containers/java-guestbook-backend:quickstart

Implementa el contenedor en Cloud Run con Cloud Deploy

1. Registra tu canalización y tus destinos con el servicio de Cloud Deploy:

   gcloud deploy apply --file cloudrun.clouddeploy.yaml
   

   Ahora tienes una canalización, con destinos, lista para implementar tu aplicación en tu primer destino.

2. Para verificar que tu canalización exista, ve a la página Canalizaciones de entrega. en la consola de Google Cloud:

   Abrir la página Canalizaciones de entrega

   Se muestra la canalización de entrega que acabas de crear, cloudrun-guestbook-backend-delivery.

3. Haz clic en cloudrun-guestbook-backend-delivery para supervisar el progreso. El Se abrirá la página Detalles de la canalización de entrega.

4. En Cloud Shell, crea una versión en Cloud Deploy:

   gcloud deploy releases create test-release-007 \
       --delivery-pipeline=cloudrun-guestbook-backend-delivery \
       --skaffold-file=cloudrun.skaffold.yaml \
       --images=java-guestbook-backend=us-central1-docker.pkg.dev/${PROJECT_ID}/containers/java-guestbook-backend:quickstart
   

   La nueva versión aparecerá en la sección Versiones de la página Detalles de la canalización de entrega.

5. Supervisa la vista Visualización de la canalización en la página Detalles de la canalización de entrega hasta que aparezca el botón Promover para dev-cluster. Tú tal vez deba actualizar la página.

6. En el primer objetivo de la visualización de la canalización de entrega, cloudrun-dev, haz clic en Promover.

   Se muestra el cuadro de diálogo Promocionar la versión. Muestra los detalles del destino al que promocionarás.

7. Haz clic en Promover.

   La versión ahora está en cola para su implementación en cloudrun-prod. Cuando la implementación es completa, la visualización de la canalización de entrega la mostrará como implementada:

   

Ver estadísticas de seguridad en Cloud Deploy

1. Abre la página Canalizaciones de entrega de Cloud Deploy en la Consola de Google Cloud

   Abre la página de Cloud Deploy

2. En la tabla Canalizaciones de entrega, haz clic en cloudrun-Guest-backend-delivery.

3. En la página Detalles de las canalizaciones de entrega, haz clic en test-release-008.

4. En la página Detalles de la versión, haz clic en la pestaña Artefactos.

5. En la tabla Build artifacts, busca la fila con el artefacto java-guestbook-backend y, en la columna Security insights correspondiente, haz clic en View.

Verás el panel Seguridad de Software Delivery Shield para la implementación.

En este panel, se muestra la siguiente información:

• Nivel de SLSA: Esta compilación alcanzó el nivel 3 de la SLSA. Haz clic en el botón Más información para obtener más información sobre el significado de este nivel de seguridad.

• Vulnerabilidades: Cualquier vulnerabilidad que se encuentre en tus artefactos. Haz clic en el ícono nombre de la imagen (java-guestbook-backend) para ver los artefactos que se analizado en busca de vulnerabilidades.

• Dependencias para los artefactos de compilación

• Detalles de la compilación: Son los detalles de la compilación, como el compilador y el vínculo para ver los registros.

Consulta estadísticas de seguridad en Cloud Run

1. Abre la página Servicios de Cloud Run.

   Abrir la página Servicios de Cloud Run

2. En la tabla Servicios de Cloud Run, haz clic en guestbook-backend-prod.

3. En la página Detalles del servicio, haz clic en Revisiones.

4. En el panel Revisiones, haz clic en Seguridad.

Verás el panel Seguridad de Software Delivery Shield para la implementación.

En este panel, se muestra la siguiente información:

• Identidad y encriptación: la dirección de correo electrónico de la instancia predeterminada de Compute Engine la cuenta de servicio y la clave de encriptación que se usó para la implementación.

• Nivel SLSA: Esta compilación alcanzó el nivel 3 de SLSA. Haz clic en el vínculo Más información para saber qué significa este nivel de seguridad.

• Vulnerabilidades: Cualquier vulnerabilidad que se encuentre en tus artefactos. Haz clic en el ícono nombre de la imagen (java-guestbook-backend) para ver los artefactos que se analizado en busca de vulnerabilidades.

• Dependencias para los artefactos de compilación

• Detalles de compilación: Detalles de la compilación, como el compilador y el vínculo a y visualizar registros.