在 Cloud Deploy 中查看安全性数据分析

本页介绍了如何查看您部署的容器映像的安全信息。您可以在 Google Cloud 控制台中的 Cloud Deploy 的安全分析侧边栏中查看此类信息。

安全数据分析侧边栏提供了多项安全指标的概览。您可以使用此面板来识别和降低您部署的映像中的风险。

此面板会显示以下信息:

Google Cloud 控制台中的安全分析面板

使用要求

安全性数据分析仅适用于符合以下要求的容器映像:

启用漏洞扫描

安全性数据洞见面板中显示的信息来自 Artifact Analysis,可能还来自 Cloud Build。Artifact Analysis 是一项服务,可为容器中的基础容器映像、Maven 和 Go 软件包以及非容器化 Maven 软件包提供集成的按需或自动扫描。

如需接收所有可用的安全分析信息,您必须启用漏洞扫描:

  1. 如需开启漏洞扫描,请启用所需的 API。

    Enable the APIs

  2. 构建容器映像,并将其存储在 Artifact Registry 中。Artifact Analysis 会自动扫描 build 工件。

    漏洞扫描可能需要几分钟时间,具体取决于容器映像的大小。

如需详细了解漏洞扫描,请参阅推送时扫描

扫描需要付费。如需了解价格信息,请参阅价格页面

授予查看数据分析的权限

如需在 Cloud Deploy 中查看安全分析,您需要拥有此处所述的 IAM 角色,或具有等效权限的角色。如果 Artifact Registry 和 Artifact Analysis 在不同的项目中运行,您必须在运行 Artifact Analysis 的项目中添加 Artifact Analysis Occurrences Viewer 角色或等效权限。

在 Cloud Deploy 中查看安全性数据分析

  1. 在 Google Cloud 控制台中,打开 Cloud Deploy 交付流水线页面:

    打开“交付流水线”页面

  2. 如有必要,选择包含提交了要查看安全分析的容器映像的流水线和版本的项目。

  3. 点击交付流水线的名称。

    系统会显示交付流水线详情。

  4. 在“交付流水线详情”页面中,选择提交了容器映像的版本。

  5. 在“版本详情”页面上,选择工件标签页。

    所选版本提交的容器会列在构建工件下。对于每个容器,安全性数据分析列中都包含一个查看链接。

    “版本详情工件”标签页,其中包含用于查看安全数据洞见的链接。

  6. 点击要查看其安全详情的工件名称旁边的查看链接。

    系统会显示安全性数据分析面板,其中显示了此工件可用的安全信息。下面几个部分将详细介绍这些信息。

SLSA 级别

SLSA 是一套面向软件生产者和使用者的业界标准安全准则。此标准针对软件的安全性确定了四个置信度级别

漏洞

漏洞卡片会显示 build 工件的漏洞出现情况、可用的修复程序和 VEX 状态。

Artifact Analysis 支持扫描推送到 Artifact Registry 的容器映像。扫描操作系统软件包以及使用 Python、Node.js、Java (Maven) 或 Go 创建的应用软件包中的漏洞。

扫描结果按严重级别整理。严重级别是一种定性评估,基于漏洞被利用的可能性、范围、影响和成熟度得出。

点击映像名称可查看已扫描是否存在漏洞的工件。

对于推送到 Artifact Registry 的每个容器映像,Artifact Analysis 都可以存储关联的 VEX 语句。VEX 是一种安全建议,用于指明产品是否受到已知漏洞的影响。

每个 VEX 语句都提供以下信息:

  • VEX 声明的发布商
  • 为其编写语句的工件
  • 任何 CVE 的漏洞评估 (VEX 状态)

依赖项

依赖项卡片会显示包含依赖项列表的 SBOM 列表。

当您使用 Cloud Build 构建容器映像并将其推送到 Artifact Registry 时,Artifact Analysis 可以为推送的映像生成 SBOM 记录。

SBOM 是应用的完整清单,用于标识您的软件依赖的软件包。内容可以包括供应商提供的第三方软件、内部工件和开源库。

构建详情

build 详情包括:

  • Cloud Build 日志的链接

  • 构建映像的构建器的名称

  • build 日期/时间

  • 以 JSON 格式显示 build 的来源

后续步骤