此页面由 Cloud Translation API 翻译。

在 Cloud Deploy 中查看安全性数据分析

本页面介绍了如何查看有关您部署的容器映像的安全信息。您可以在 Google Cloud 控制台的 Cloud Deploy 安全洞见侧边栏中查看此信息。

安全性数据分析侧边栏会提供多项安全指标的概览。您可以使用此面板来识别和缓解所部署映像中的风险。

此面板会显示以下信息：

SLSA 构建级别

根据软件制品的供应链等级 (SLSA) 规范标识软件构建流程的成熟度级别。
漏洞

列出在您的制品中发现的所有漏洞。
VEX 状态

build 制品的漏洞可利用性交流(VEX) 状态。
SBOM

构建工件的软件物料清单 (SBOM)。
构建详情

包含 build 的相关信息。

Google Cloud 控制台中的“安全洞见”面板

要求

安全性数据分析仅适用于符合以下要求的容器映像：

必须启用漏洞扫描。
必须在运行 Artifact Analysis 的项目中授予所需的 Identity and Access Management 角色。
作为发布创建的一部分，映像的名称必须是 SHA 限定的。

如果映像显示在 Cloud Deploy 的工件标签页中，但没有 SHA256 哈希，您可能需要重新构建该映像。

启用漏洞扫描

安全性数据洞见面板中显示的信息来自 Artifact Analysis，可能还来自 Cloud Build。Artifact Analysis 是一项服务，可为容器中的基础容器映像、Maven 和 Go 软件包以及非容器化的 Maven 软件包提供集成式按需或自动扫描。

如需接收所有可用的安全性数据分析，您必须启用漏洞扫描：

如需开启漏洞扫描，请启用所需的 API。

Enable the APIs
构建容器映像，并将其存储在 Artifact Registry 中。 Artifact Analysis 会自动扫描 build 工件。

漏洞扫描可能需要几分钟时间，具体取决于容器映像的大小。

如需详细了解漏洞扫描，请参阅推送时扫描。

扫描需要付费。如需了解价格信息，请参阅价格页面。

授予查看数据分析的权限

如需在 Cloud Deploy 中查看安全性数据分析，您需要拥有此处所述的 IAM 角色，或具有同等权限的角色。如果 Artifact Registry 和 Artifact Analysis 在不同的项目中运行，您必须在运行 Artifact Analysis 的项目中添加 Artifact Analysis Occurrences Viewer 角色或等效权限。

Cloud Build Viewer (roles/cloudbuild.builds.viewer)

查看 build 的数据分析。
Artifact Analysis Viewer (roles/containeranalysis.occurrences.viewer)

查看漏洞和其他依赖项信息。