Crea un'applicazione e visualizza insight sulla sicurezza
Questa guida rapida spiega come creare un'applicazione e visualizzare gli insight sulla sicurezza per la build nel riquadro Approfondimenti sulla sicurezza della console Google Cloud.
Imparerai a:
- Crea e esegui il containerizzazione di un'applicazione Java utilizzando Cloud Build ed esegui il push dell'immagine del contenitore nel repository Docker di Artifact Registry.
Visualizza i seguenti approfondimenti sulla sicurezza per la build:
- Livello SLSA (Supply-chain Levels for Software Artifacts), che identifica il livello di maturità del processo di compilazione del software in conformità con la specifica SLSA .
- Vulnerabilità negli elementi della build.
- Software Bill of Materials (SBOM) per gli elementi di compilazione.
- La provenienza della build, ovvero una raccolta di metadati verificabili su una build. Sono inclusi dettagli come i digest delle immagini create, le località delle origini di input, la toolchain di compilazione, i passaggi di compilazione e la durata della compilazione.
Prima di iniziare
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Create or select a Google Cloud project.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_ID
with a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_ID
with your Google Cloud project name.
-
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Cloud Build, Artifact Registry, and Container Scanning APIs:
gcloud services enable cloudbuild.googleapis.com
artifactregistry.googleapis.com containerscanning.googleapis.com - Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Create or select a Google Cloud project.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_ID
with a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_ID
with your Google Cloud project name.
-
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Cloud Build, Artifact Registry, and Container Scanning APIs:
gcloud services enable cloudbuild.googleapis.com
artifactregistry.googleapis.com containerscanning.googleapis.com
prepara l'ambiente
Imposta l'ID progetto come variabile di ambiente:
export PROJECT_ID=$(gcloud config get project)
Clona il repository contenente il esempio di codice Java da compilare e conteinerizzare:
git clone https://github.com/googlecloudplatform/software-delivery-shield-demo-java.git cd software-delivery-shield-demo-java/backend
Crea il repository Artifact Registry per l'immagine
Crea un nuovo repository Docker denominato
containers
nella localitàus-central1
con la descrizione "Docker repository" (Repository Docker):gcloud artifacts repositories create containers \ --repository-format=docker \ --location=us-central1 --description="Docker repository"
Verifica che il repository sia stato creato:
gcloud artifacts repositories list
Dovresti vedere
containers
nell'elenco dei repository visualizzati.
Crea l'applicazione
Crea e containerizza l'applicazione Java utilizzando Cloud Build. Il seguente comando compila e esegue il containerizzazione dell'applicazione Java e archivia il container compilato nel repository Docker di Artifact Registry:
gcloud builds submit --config=cloudbuild.yaml --region=us-central1
Al termine della compilazione, viene visualizzato un messaggio di stato di esito positivo simile al seguente:
<pre class="none lang-sh">
DONE
-----------------------------------------------------------------------------
ID: 3e08565f-7f57-4449-bc68-51c46cf33d03
CREATE_TIME: 2022-09-19T15:41:07+00:00
DURATION: 54S
SOURCE: gs://sds-docs-project_cloudbuild/source/1663602066.777581-6ebe4b2d6fd741ffa18936d7f78055e9.tgz
IMAGES: us-central1-docker.pkg.dev/sds-docs-project/containers/java-guestbook-backend:quickstart
STATUS: SUCCESS
</pre>
Generare un SBOM per l'immagine compilata
Un SBOM è un inventario completo di un'applicazione che identifica i pacchetti su cui si basa il software. I contenuti possono includere software di terze parti di fornitori, elementi interni e librerie open source.
Genera l'SBOM per l'immagine creata nella sezione precedente:
gcloud artifacts sbom export
--uri=us-central1-docker.pkg.dev/${PROJECT_ID}/containers/java-guestbook-backend:quickstart
Visualizza insight sulla sicurezza
L'interfaccia utente di Cloud Build nella console Google Cloud contiene il riquadro Approfondimenti sulla sicurezza che mostra le informazioni sulla sicurezza relative alla compilazione, ad esempio il livello SLSA, eventuali vulnerabilità nelle dipendenze e l'origine della compilazione.
Per visualizzare il riquadro Approfondimenti sulla sicurezza:
Apri la pagina Cronologia di Build nella console Google Cloud:
Seleziona il progetto e fai clic su Apri.
Nel menu a discesa Regione, seleziona us-central1.
Nella tabella delle build, individua la riga con la build appena eseguita.
Nella colonna Approfondimenti sulla sicurezza, fai clic su Visualizza.
Viene visualizzato il riquadro Approfondimenti sulla sicurezza per la build:
Questo riquadro mostra le seguenti informazioni:
Livello SLSA: questa build ha raggiunto il livello SLSA 3. Fai clic sul link Scopri di più per scoprire il significato di questo livello di sicurezza.
Vulnerabilità:eventuali vulnerabilità rilevate nei tuoi elementi. Fai clic sul nome dell'immagine (java-guestbook-backend) per visualizzare gli elementi sottoposti a scansione per rilevare le vulnerabilità.
Dipendenze per l'immagine container compilata in Artifact Registry.
Dettagli build:dettagli della build, ad esempio il generatore e il link per visualizzare i log.
Esegui la pulizia
Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate su questa pagina, elimina il progetto Google Cloud con le risorse.
Disabilita l'API Container Scanning:
gcloud services disable containerscanning.googleapis.com --force
Elimina il repository Artifact Registry:
gcloud artifacts repositories delete containers \ --location=us-central1 --async
Hai eliminato il repository che hai creato nell'ambito di questa guida rapida.
Passaggi successivi
- Scopri di più sul riquadro degli insight sulla sicurezza in Cloud Build
- Scopri come visualizzare gli approfondimenti sulla sicurezza durante il deployment in Cloud Run
- Scopri come visualizzare gli approfondimenti sulla sicurezza durante il deployment su GKE
- Scopri di più sulla sicurezza della catena di fornitura del software