Halaman ini menjelaskan cara melihat informasi keamanan tentang image container yang Anda deploy. Anda dapat melihat informasi ini di panel samping Insight keamanan untuk Cloud Deploy di konsol. Google Cloud
Panel samping Insight keamanan memberikan ringkasan tingkat tinggi dari beberapa metrik keamanan. Anda dapat menggunakan panel ini untuk mengidentifikasi dan memitigasi risiko dalam gambar yang Anda deploy.
Panel ini menampilkan informasi berikut:
Level build SLSA
Mengidentifikasi tingkat kematangan proses build software Anda sesuai dengan spesifikasi Supply-chain Levels for Software Artifacts (SLSA).
Kerentanan
Mencantumkan kerentanan yang ditemukan di artefak Anda.
Status VEX
Status Vulnerability Exploitability eXchange(VEX) untuk artefak build.
SBOM
Software bill of materials (SBOM) untuk artefak build.
Detail build
Mencakup informasi tentang build.
Persyaratan
Insight keamanan hanya tersedia untuk image container yang memenuhi persyaratan berikut:
Pemindaian kerentanan harus diaktifkan.
Peran Identity and Access Management yang diperlukan harus diberikan, di project tempat Analisis Artefak berjalan.
Nama gambar, sebagai bagian dari pembuatan rilis, harus memenuhi syarat SHA.
Jika image ditampilkan di tab Artefak di Cloud Deploy tanpa hash SHA256, Anda mungkin perlu membangun ulang image tersebut.
Aktifkan pemindaian kerentanan
Informasi yang ditampilkan di panel Insight Keamanan berasal dari Analisis Artefak dan mungkin dari Cloud Build. Artifact Analysis adalah layanan yang menyediakan pemindaian terintegrasi sesuai permintaan atau otomatis untuk image container dasar, paket Maven, dan Go dalam container, serta untuk paket Maven yang tidak di-container.
Untuk menerima semua insight keamanan yang tersedia, Anda harus mengaktifkan pemindaian kerentanan:
Untuk mengaktifkan pemindaian kerentanan, aktifkan API yang diperlukan.
Bangun image container Anda, dan simpan di Artifact Registry. Artifact Analysis secara otomatis memindai artefak build.
Pemindaian kerentanan mungkin memerlukan waktu beberapa menit, bergantung pada ukuran image container Anda.
Untuk mengetahui informasi selengkapnya tentang pemindaian kerentanan, lihat Pemindaian saat push.
Pemindaian dikenai biaya. Lihat halaman Harga untuk mengetahui informasi harga.
Memberikan izin untuk melihat insight
Untuk melihat insight keamanan di Cloud Deploy, Anda memerlukan peran IAM yang dijelaskan di sini, atau peran dengan izin yang setara. Jika Artifact Registry dan Artifact Analysis berjalan di project yang berbeda, Anda harus menambahkan peran Artifact Analysis Occurrences Viewer, atau izin yang setara, di project tempat Artifact Analysis berjalan.
Cloud Build Viewer (
roles/cloudbuild.builds.viewer)Melihat insight untuk build.
Artifact Analysis Viewer (
roles/containeranalysis.occurrences.viewer)Melihat kerentanan dan informasi dependensi lainnya.
Melihat insight keamanan di Cloud Deploy
Buka halaman Delivery pipelines Cloud Deploy di konsolGoogle Cloud :
Jika perlu, pilih project yang menyertakan pipeline dan rilis yang mengirimkan image container yang ingin Anda lihat insight keamanannya.
Klik nama pipeline pengiriman.
Detail pipeline pengiriman akan ditampilkan.
Dari halaman Detail pipeline pengiriman, pilih rilis yang mengirimkan gambar container.
Di halaman Detail rilis, pilih tab Artefak.
Container yang dikirimkan oleh rilis yang dipilih tercantum di bagian Artefak build. Untuk setiap penampung, kolom Insight keamanan mencakup link Lihat.
Klik link Lihat di samping nama artefak yang detail keamanannya ingin Anda lihat.
Panel Insight keamanan ditampilkan, yang menunjukkan informasi keamanan yang tersedia untuk artefak ini. Bagian berikut menjelaskan informasi ini secara lebih mendetail.
Level SLSA
SLSA adalah serangkaian pedoman keamanan standar industri untuk produsen dan konsumen software. Standar ini menetapkan empat tingkat keyakinan dalam keamanan software Anda.
Kerentanan
Kartu Kerentanan menampilkan kemunculan kerentanan, perbaikan yang tersedia, dan status VEX untuk artefak build.
Artifact Analysis mendukung pemindaian image container yang dikirim ke Artifact Registry. Pemindaian mendeteksi kerentanan dalam paket sistem operasi, dan dalam paket aplikasi yang dibuat di Python, Node.js, Java (Maven), atau Go.
Hasil pemindaian diatur berdasarkan tingkat keparahan. Tingkat keparahan adalah penilaian kualitatif berdasarkan eksploitasi, cakupan, dampak, dan kematangan kerentanan.
Klik nama gambar untuk melihat artefak yang telah dipindai untuk menemukan kerentanan.
Untuk setiap image container yang dikirim ke Artifact Registry, Artifact Analysis dapat menyimpan pernyataan VEX terkait. VEX adalah jenis saran keamanan yang menunjukkan apakah suatu produk terpengaruh oleh kerentanan yang diketahui.
Setiap pernyataan VEX memberikan:
- Penerbit Pernyataan VEX
- Artefak yang pernyataan ini dibuat untuknya
- Penilaian kerentanan (status VEX) untuk CVE apa pun
Dependensi
Kartu Dependencies menampilkan daftar SBOM yang mencakup daftar dependensi.
Saat Anda membangun image container menggunakan Cloud Build dan mengirimkannya ke Artifact Registry, Artifact Analysis dapat membuat catatan SBOM untuk image yang dikirim.
SBOM adalah inventaris lengkap aplikasi, yang mengidentifikasi paket yang digunakan software Anda. Konten dapat mencakup software pihak ketiga dari vendor, artefak internal, dan library open source.
Detail build
Detail build mencakup hal berikut:
Link ke log Cloud Build
Nama builder yang membuat image
Tanggal/waktu pembuatan
Membangun provenance, dalam format JSON
Langkah berikutnya
Coba panduan memulai Men-deploy aplikasi ke GKE dan melihat insight keamanan
Coba panduan memulai Men-deploy aplikasi ke Cloud Run dan melihat insight keamanan
Pelajari cara menyimpan dan melihat log build.