このページでは、選択した Cloud Run リビジョンのソフトウェア サプライ チェーンのセキュリティ分析情報を表示する方法と、この情報からリビジョンのセキュリティ対策を把握する方法について説明します。
Cloud Run を他の Google Cloud プロダクトや機能と組み合わせて使用し、ソフトウェア サプライ チェーンのセキュリティ体制を強化する方法については、ソフトウェア サプライ チェーンのセキュリティをご覧ください。
始める前に
コンテナのスキャンを行うには、Container Scanning API を有効にする必要があります。
必要な権限
セキュリティ分析情報を表示するには、次のロールが必要です。
- Artifact Analysis のオカレンスの閲覧者
- Cloud Run 閲覧者
セキュリティ分析情報を表示する
目的のサービスをクリックして、[サービスの詳細] ページを開きます。
[リビジョン] タブをクリックし、目的のリビジョンを選択します。
右側の詳細パネルで [セキュリティ] タブをクリックします。
[セキュリティ分析] セクションを見つけます。このセクションには、選択したリビジョンの現在の脆弱性評価とその他の詳細が表示されます。詳細については、セキュリティ分析情報の理解をご覧ください。
セキュリティ分析情報の概要
[セキュリティ分析情報] セクションには、次の情報が表示されます。
- ソフトウェア アーティファクトのためのサプライチェーン レベル(SLSA): SLSA 仕様に従って、ソフトウェア ビルドプロセスの成熟度を示します。詳細については、SLSA のウェブサイトをご覧ください。
- 脆弱性: アーティファクトで見つかった脆弱性の概要と、Artifact Analysis によってスキャンされたイメージの名前。イメージ名をクリックすると、脆弱性の詳細が表示されます。
- ビルドの詳細: ビルダーやログのリンクなど、ビルドの詳細。
- ビルドの来歴: ビルドの来歴。
次のステップ
- SLSA レベルを向上させるには、継続的デプロイの設定を検討してください。
- Cloud Run サービスをデプロイし、そのサービスのセキュリティ分析情報を表示する例については、ソフトウェア サプライ チェーンのセキュリティのクイックスタートをご覧ください。