Auf dieser Seite wird erläutert, wie Sie Sicherheitsinformationen zu den von Ihnen bereitgestellten Container-Images aufrufen. Sie finden diese Informationen im Seitenbereich Sicherheitsinformationen für Cloud Deploy in der Google Cloud Console.
Im Seitenbereich Sicherheitsinformationen erhalten Sie einen Überblick über mehrere Sicherheitsmesswerte. In diesem Bereich können Sie Risiken bei den bereitgestellten Images erkennen und mindern.
In diesem Bereich werden die folgenden Informationen angezeigt:
SLSA-Build-Ebene
Gibt die Reifestufe Ihres Software-Build-Prozesses gemäß der SLSA-Spezifikation (Supply Chain Levels for Software Artifacts) an.
Sicherheitslücken
Hier werden alle Sicherheitslücken aufgelistet, die in Ihrem Artefakt oder Ihren Artefakten gefunden wurden.
VEX-Status
VEX-Status(Vulnerability Exploitability eXchange) für die Build-Artefakte.
SBOM
Software-Materialliste (SBOM) für die Build-Artefakte.
Build-Details
Enthält Informationen zum Build.
Voraussetzungen
Sicherheitsinformationen sind nur für Container-Images verfügbar, die die folgenden Anforderungen erfüllen:
Das Scannen auf Sicherheitslücken muss aktiviert sein.
Die erforderlichen IAM-Rollen (Identity and Access Management) müssen zugewiesen werden, und zwar in dem Projekt, in dem die Artefaktanalyse ausgeführt wird.
Der Name des Images muss beim Erstellen eines Release SHA-qualifiziert sein.
Wenn das Image in Cloud Deploy auf dem Tab Artefakte ohne SHA256-Hash angezeigt wird, müssen Sie es möglicherweise neu erstellen.
Scannen nach Sicherheitslücken aktivieren
Die Informationen im Bereich Sicherheitsinformationen stammen aus der Artefaktanalyse und möglicherweise aus Cloud Build. Artefaktanalyse ist ein Dienst, der ein integriertes On-Demand- oder automatisiertes Scannen von Basis-Container-Images, Maven- und Go-Paketen in Containern sowie von nicht containerisierten Maven-Paketen bietet.
Wenn Sie alle verfügbaren Sicherheitsinformationen erhalten möchten, müssen Sie das Scannen auf Sicherheitslücken aktivieren:
Aktivieren Sie die erforderlichen APIs, um das Scannen auf Sicherheitslücken zu aktivieren.
Erstellen Sie das Container-Image und speichern Sie es in Artifact Registry. Die Artefaktanalyse scannt die Build-Artefakte automatisch.
Je nach Größe des Container-Images kann die Suche nach Sicherheitslücken einige Minuten dauern.
Weitere Informationen zum Scannen auf Sicherheitslücken finden Sie unter On-Push-Scannen.
Für das Scannen fallen Kosten an. Preisinformationen finden Sie auf der Preisseite.
Berechtigungen zum Aufrufen von Statistiken erteilen
Wenn Sie Sicherheitsstatistiken in Cloud Deploy aufrufen möchten, benötigen Sie die hier beschriebenen IAM-Rollen oder eine Rolle mit entsprechenden Berechtigungen. Wenn Artifact Registry und die Artefaktanalyse in verschiedenen Projekten ausgeführt werden, müssen Sie die Rolle „Betrachter von Artefaktanalyse-Vorkommen“ oder entsprechende Berechtigungen dem Projekt hinzufügen, in dem die Artefaktanalyse ausgeführt wird.
Cloud Build-Betrachter (
roles/cloudbuild.builds.viewer)Statistiken für einen Build aufrufen
Betrachter der Artefaktanalyse (
roles/containeranalysis.occurrences.viewer)Sicherheitslücken und andere Abhängigkeitsinformationen aufrufen
Sicherheitserkenntnisse in Cloud Deploy ansehen
Öffnen Sie in der Google Cloud Console die Seite Bereitstellungspipelines von Cloud Deploy:
Wählen Sie bei Bedarf das Projekt mit der Pipeline und dem Release aus, über die bzw. das das Container-Image bereitgestellt wurde, für das Sie Sicherheitsinformationen aufrufen möchten.
Klicken Sie auf den Namen der Lieferpipeline.
Die Details zur Bereitstellungspipeline werden angezeigt.
Wählen Sie auf der Detailseite der Bereitstellungspipeline einen Release aus, über den das Container-Image bereitgestellt wurde.
Wählen Sie auf der Seite mit den Release-Details den Tab Artefakte aus.
Container, die mit der ausgewählten Version bereitgestellt wurden, sind unter Build-Artefakte aufgeführt. Für jeden Container enthält die Spalte Sicherheitsstatistiken den Link Anzeigen.
Klicken Sie neben dem Namen des Artefakts, dessen Sicherheitsdetails Sie aufrufen möchten, auf den Link Anzeigen.
Der Bereich Sicherheitsstatistiken wird angezeigt. Er enthält die verfügbaren Sicherheitsinformationen für dieses Artefakt. In den folgenden Abschnitten werden diese Informationen genauer beschrieben.
SLSA-Ebene
SLSA ist ein branchenüblicher Sicherheitsstandard für Hersteller und Nutzer von Software. Dieser Standard definiert vier Vertrauensstufen für die Sicherheit Ihrer Software.
Sicherheitslücken
Auf der Karte Sicherheitslücken sehen Sie die Sicherheitslücken, verfügbaren Korrekturen und den VEX-Status für die Build-Artefakte.
Artifact Analysis unterstützt das Scannen von Container-Images, die in die Artifact Registry hochgeladen wurden. Die Prüfungen erkennen Sicherheitslücken in Betriebssystempaketen und in Anwendungspaketen, die in Python, Node.js, Java (Maven) oder Go erstellt wurden.
Die Scanergebnisse sind nach Schweregrad organisiert. Der Schweregrad ist eine qualitative Bewertung, die auf der Ausnutzbarkeit, dem Umfang, den Auswirkungen und der Reife der Sicherheitslücke basiert.
Klicken Sie auf den Image-Namen, um die Artefakte aufzurufen, die auf Sicherheitslücken geprüft wurden.
Für jedes Container-Image, das in die Artifact Registry gepusht wird, kann die Artefaktanalyse eine zugehörige VEX-Anweisung speichern. VEX ist eine Art von Sicherheitswarnung, die angibt, ob ein Produkt von einer bekannten Sicherheitslücke betroffen ist.
Jede VEX-Anweisung enthält:
- Der Publisher der VEX-Erklärung
- Das Artefakt, für das die Erklärung verfasst wird
- Die Sicherheitslückenbewertung (VEX-Status) für alle CVEs
Abhängigkeiten
Auf der Karte Abhängigkeiten wird eine Liste der SBOMs mit einer Liste der Abhängigkeiten angezeigt.
Wenn Sie ein Container-Image mit Cloud Build erstellen und in Artifact Registry hochladen, kann die Artefaktanalyse SBOM-Einträge für die hochgeladenen Images generieren.
Eine SBOM ist ein vollständiges Inventar einer Anwendung, in dem die Pakete aufgeführt sind, auf die Ihre Software angewiesen ist. Der Inhalt kann Software von Drittanbietern, interne Artefakte und Open-Source-Bibliotheken umfassen.
Build-Details
Die Build-Details umfassen Folgendes:
Link zu den Cloud Build-Logs
Der Name des Builders, der das Image erstellt hat
Datum und Uhrzeit der Build-Ausführung
Herkunftsnachweis im JSON-Format erstellen
Nächste Schritte
Sehen Sie sich die Kurzanleitung Anwendung in GKE bereitstellen und Sicherheitserkenntnisse ansehen an.
Kurzanleitung: Anwendung in Cloud Run bereitstellen und Sicherheitserkenntnisse ansehen