このページでは、選択した Cloud Run リビジョンのソフトウェア サプライ チェーンのセキュリティ分析情報を表示する方法と、この情報からリビジョンのセキュリティ ポスチャーを把握するための概要について説明します。
他の Google Cloud プロダクトや機能で Cloud Run を使用して、ソフトウェア サプライ チェーンのセキュリティ ポスチャーを改善する方法については、ソフトウェア サプライ チェーンのセキュリティをご覧ください。
始める前に
コンテナのスキャンを行うには、Container Scanning API を有効にする必要があります。
必要な権限
セキュリティ分析情報を表示するには、次のロールが必要です。
- Artifact Analysis のオカレンスの閲覧者
- Cloud Run 閲覧者
セキュリティ分析情報を表示する
目的のサービスをクリックして、[サービスの詳細] ページを開きます。
[リビジョン] タブをクリックし、目的のリビジョンを選択します。
右側の詳細パネルで [セキュリティ] タブをクリックします。
[セキュリティ分析情報] セクションを見つけます。このセクションには、選択したリビジョンの現在の脆弱性評価とその他の詳細が表示されます。詳細については、セキュリティ分析情報についてをご覧ください。
セキュリティ分析情報について
[セキュリティ分析情報] セクションには、次の情報が表示されます。
- ソフトウェア アーティファクトのためのサプライチェーン レベル(SLSA): SLSA 仕様に従って、ソフトウェア ビルドプロセスの成熟度を示します。詳細については、SLSA のウェブサイトをご覧ください。
- 脆弱性: アーティファクトで見つかった脆弱性の概要と、Artifact Analysis によってスキャンされたイメージの名前。イメージ名をクリックすると、脆弱性の詳細が表示されます。
- ビルドの詳細: ビルダーやログのリンクなど、ビルドの詳細。
- ビルドの来歴: ビルドの来歴。
次のステップ
- SLSA レベルを向上させるには、継続的デプロイの設定を検討してください。
- Cloud Run サービスをデプロイし、そのサービスのセキュリティ分析情報を表示する例については、ソフトウェア サプライ チェーンのセキュリティのクイックスタートをご覧ください。