查看建構安全性深入分析資料

本頁面說明如何使用 Google Cloud 控制台的「安全性深入分析」側邊面板，查看 Cloud Build 建構作業的安全性資訊。

「安全性深入分析資訊」側邊面板提供多項安全指標的概略總覽。您可以使用側邊面板，找出並降低建構程序中的風險。

這個面板會顯示下列資訊：

• 軟體構件供應鏈級別 (SLSA) 等級：根據 SLSA 規格，識別軟體建構程序的成熟度等級。舉例來說，這個版本已達到 SLSA 等級 3。
• 安全漏洞：概略說明構件中發現的所有安全漏洞，以及Artifact Analysis 掃描的映像檔名稱。您可以按一下映像檔名稱，查看安全漏洞詳細資料。舉例來說，您可以在螢幕截圖中按一下「java-guestbook-backend」。
• Vulnerability Exploitability eXchange(VEX) 狀態：已建構的構件。
• 軟體物料清單 (SBOM)：建構構件。
• 建構作業詳細資料：建構作業的詳細資料，例如建構工具和查看記錄的連結。

如要瞭解如何搭配使用 Cloud Build 和其他 Google Cloud 產品和功能，以改善軟體供應鏈的安全防護機制，請參閱「軟體供應鏈安全性」。

啟用安全漏洞掃描

「安全性深入分析」面板會顯示 Cloud Build 和構件分析的資料。當您將建構構件上傳至 Artifact Registry 時，「構件分析」服務會掃描 OS、Java (Maven) 和 Go 套件中的安全漏洞。

您必須啟用安全漏洞掃描功能，才能取得完整的安全洞察資料結果。

1. 啟用 Container Scanning API 以開啟安全漏洞掃描功能。

   啟用 Container Scanning API

2. 執行建構作業，並將建構作業構件儲存在 Artifact Registry 中。容器分析會自動掃描建構容器。

視版本大小而定，漏洞掃描作業可能需要幾分鐘的時間才能完成。

如要進一步瞭解安全漏洞掃描，請參閱「自動掃描」。

掃描作業需要付費。如需價格資訊，請參閱定價頁面。

授予查看洞察資料的權限

如要在 Google Cloud 控制台中查看安全性深入分析，您必須具備下列 IAM 角色，或具備等同權限的角色。如果 Artifact Registry 和 Artifact Analysis 在不同的專案中執行，您必須在執行 Artifact Analysis 的專案中新增容器分析例項檢視者角色或等同的權限。

• Cloud Build Viewer (roles/cloudbuild.builds.viewer)：查看建構作業的深入分析資料。
• 容器分析發生頻率檢視器 (roles/containeranalysis.occurrences.viewer)：查看安全漏洞和其他依附元件資訊。

查看「安全性洞察」側邊面板

如何查看「安全性深入分析」面板：

1. 在 Google Cloud 控制台中開啟「Build History」頁面：

   開啟「Build History」(建構記錄) 頁面

2. 選取您的專案並按一下 [Open] (開啟)。

3. 在「Region」下拉式選單中，選取您執行建構作業的區域。

4. 在包含版本的資料表中，找出要查看安全性深入分析的版本列。

5. 按一下「安全性洞察資料」欄下方的「查看」。

   系統隨即會開啟「Security insights」側邊面板。

6. [選用] 如果建構作業產生多個構件，請從「Artifact」下拉式方塊中選取要查看安全性深入分析的構件。

   

   系統會顯示所選構件「安全性深入分析」面板。

SLSA 等級

SLSA 等級會根據一系列規範，評估建構作業目前的安全性保證等級。

安全漏洞

「安全漏洞」資訊卡會顯示建構構件的安全漏洞發生次數、可用的修正程式，以及 VEX 狀態。

Artifact Analysis 支援掃描推送至 Artifact Registry 的容器映像檔。掃描作業系統套件和以 Java (Maven) 或 Go 建立的應用程式套件中的安全漏洞。

掃描結果會依嚴重性等級排序。嚴重程度等級是根據安全漏洞的可利用性、範圍、影響和成熟度等因素進行的定性評估。

按一下圖片名稱，即可查看已掃描是否有漏洞的構件。

對於推送至 Artifact Registry 的每個容器映像檔，Artifact Analysis 都能儲存相關的 VEX 陳述式。VEX 是一種安全性建議，可指出產品是否受到已知安全漏洞影響。

每個 VEX 陳述式都會提供以下資訊：

• VEX 聲明的發布者
• 所寫陳述式所屬的構件
• 任何已知安全漏洞的安全漏洞評估 (VEX 狀態)

依附元件

「Dependencies」資訊卡會顯示 SBOM 清單，以及依附元件清單。

使用 Cloud Build 建構容器映像檔並推送至 Artifact Registry 時，Artifact Analysis 可為已推送的映像檔產生 SBOM 記錄。

SBOM 是應用程式的完整清單，可識別軟體所依賴的套件。內容可能包括供應商的第三方軟體、內部構件和開放原始碼程式庫。

建構

「Build」資訊卡包含下列資訊：

• 記錄檔：連結至建構記錄資訊
• Builder - 建構工具名稱
• Completed (已完成)：從建構完成至今經過的時間
• 來源：建構作業的可驗證中繼資料

來源中繼資料包含詳細資料，例如已建構映像檔的摘要、輸入來源位置、建構工具鍊、建構步驟和建構時間長度。您也可以隨時驗證建構來源。

為確保日後的版本包含來源資訊，請設定 Cloud Build 要求映像檔包含來源中繼資料。

後續步驟

• 瞭解軟體供應鏈安全性。
• 瞭解軟體供應鏈安全性最佳做法。
• 瞭解如何儲存及查看建構記錄。
• 瞭解如何排解建構錯誤。