Menggunakan Pemindaian On-Demand di pipeline Cloud Build Anda

Dengan menggunakan Pemindaian On-Demand sebagai bagian dari pipeline Cloud Build, Anda dapat memblokir build jika image container memiliki kerentanan dengan tingkat keparahan yang cocok dengan tingkat yang telah ditentukan sebelumnya.

Tutorial ini menunjukkan cara menggunakan Cloud Build untuk membangun image container dari kode sumber, memindai kerentanan, memeriksa tingkat keparahan kerentanan, dan mengirim image ke Artifact Registry jika tidak ada kerentanan pada tingkat keparahan tertentu.

Sebaiknya Anda membuat project baru untuk tutorial ini, dan menyelesaikan langkah-langkahnya di lingkungan yang terisolasi. Google Cloud

Tujuan

  • Bangun image dengan Cloud Build.
  • Pindai image yang dibuat dengan Pemindaian On-Demand.
  • Menilai tingkat kerentanan yang dapat diterima.
  • Simpan image di Artifact Registry.

Biaya

Dalam dokumen ini, Anda akan menggunakan komponen Google Cloudyang dapat ditagih berikut:

Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda, gunakan kalkulator harga.

Pengguna Google Cloud baru mungkin memenuhi syarat untuk mendapatkan uji coba gratis.

Setelah menyelesaikan tugas yang dijelaskan dalam dokumen ini, Anda dapat menghindari penagihan berkelanjutan dengan menghapus resource yang Anda buat. Untuk mengetahui informasi selengkapnya, baca bagian Pembersihan.

Sebelum memulai

  1. Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the On-Demand Scanning, Cloud Build, and Artifact Registry APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Instal Google Cloud CLI.

  6. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  7. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the On-Demand Scanning, Cloud Build, and Artifact Registry APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  11. Instal Google Cloud CLI.

  12. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  13. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

Peran yang diperlukan

Akun layanan yang Anda gunakan dengan Cloud Build memerlukan peran berikut:

Akun layanan Cloud Build default memiliki izin yang diperlukan untuk repositori Artifact Registry dalam project yang sama. Jika repositori Anda berada di project yang sama dengan yang Anda gunakan untuk Cloud Build, Anda hanya perlu memberikan peran Admin Pemindaian Sesuai Permintaan.

Jika Anda menggunakan akun layanan yang disediakan pengguna untuk Cloud Build, Anda perlu memberikan kedua peran tersebut.

Menyiapkan file sumber

Untuk tutorial ini, Anda akan membuat image dari Dockerfile. Dockerfile adalah file sumber yang berisi petunjuk bagi Docker untuk membuat image.

  1. Buka terminal, buat direktori baru bernama ods-tutorial, dan buka direktori tersebut:

    mkdir ods-tutorial && cd ods-tutorial

  2. Buat file bernama Dockerfile dengan konten berikut:

    # Debian10 image
FROM gcr.io/google-appengine/debian10:latest

# Ensures that the built image is always unique
RUN apt-get update && apt-get -y install uuid-runtime && uuidgen > /IAMUNIQUE

Membuat repositori Artifact Registry

  1. Tetapkan ID project ke project yang sama tempat Anda mengaktifkan API:

    gcloud config set project PROJECT_ID

  2. Buat repositori Docker bernama ods-build-repo di lokasi us-central1:

    gcloud artifacts repositories create ods-build-repo --repository-format=docker \
--location=us-central1 --description="Repository for scan and build"

  3. Pastikan repositori Anda berhasil dibuat:

    gcloud artifacts repositories list

Membangun dan memindai

Di bagian ini, Anda akan menjalankan pipeline build menggunakan file konfigurasi build. File konfigurasi build menginstruksikan Cloud Build cara melakukan beberapa tugas berdasarkan spesifikasi Anda.

  1. Di folder ods-tutorial/, buat file cloudbuild.yaml dengan konten berikut:

    steps:
   - id: build
     name: gcr.io/cloud-builders/docker
     entrypoint: /bin/bash
     args:
     - -c
     - |
       docker build -t us-central1-docker.pkg.dev/$_PROJECT_ID/ods-build-repo/ods-test:latest -f ./Dockerfile . &&
       docker image inspect us-central1-docker.pkg.dev/$_PROJECT_ID/ods-build-repo/ods-test:latest --format \
       '{{index .RepoTags 0}}@{{.Id}}' > /workspace/image-digest.txt &&
       cat image-digest.txt
   - id: scan
     name: gcr.io/google.com/cloudsdktool/cloud-sdk
     entrypoint: /bin/bash
     args:
     - -c
     - |
       gcloud artifacts docker images scan us-central1-docker.pkg.dev/$_PROJECT_ID/ods-build-repo/ods-test:latest \
       --format='value(response.scan)' > /workspace/scan_id.txt
   - id: severity check
     name: gcr.io/google.com/cloudsdktool/cloud-sdk
     entrypoint: /bin/bash
     args:
     - -c
     - |
       gcloud artifacts docker images list-vulnerabilities $(cat /workspace/scan_id.txt) \
       --format='value(vulnerability.effectiveSeverity)' | if grep -Exq $_SEVERITY; \
       then echo 'Failed vulnerability check' && exit 1; else exit 0; fi
   - id: push
     name: gcr.io/cloud-builders/docker
     entrypoint: /bin/bash
     args:
     - -c
     - |
       docker push us-central1-docker.pkg.dev/$_PROJECT_ID/ods-build-repo/ods-test:latest
images: ['us-central1-docker.pkg.dev/$_PROJECT_ID/ods-build-repo/ods-test:latest']

    File ini mencakup lokasi dan repositori yang sebelumnya dibuat di Artifact Registry. Jika Anda memutuskan untuk menggunakan nilai yang berbeda, ubah file cloudbuild.yaml yang sesuai. Nilai untuk PROJECT_ID dan SEVERITY diteruskan ke skrip dalam perintah build.

  2. Tentukan tingkat kerentananSEVERITY yang ingin Anda blokir dan mulai build.

    Anda dapat menggunakan nilai berikut untuk SEVERITY:

    • CRITICAL
    • HIGH
    • MEDIUM
    • LOW

    Anda dapat menentukan beberapa tingkat keparahan menggunakan ekspresi reguler.

    Dalam contoh berikut, Anda menentukan nilai tingkat keparahan CRITICAL dan HIGH. Perintah ini menginstruksikan Cloud Build untuk memeriksa kerentanan yang diklasifikasikan pada atau di atas tingkat keparahan HIGH.

    gcloud builds submit --substitutions=_PROJECT_ID=PROJECT_ID,_SEVERITY='"CRITICAL|HIGH"' \
--config cloudbuild.yaml

    Di mana

    • PROJECT_ID adalah project ID Anda.
    • SEVERITY memungkinkan Anda menetapkan tingkat keparahan yang ingin diblokir. Jika Pemindaian Sesuai Permintaan menemukan kerentanan yang cocok dengan salah satu tingkat keparahan yang ditentukan, build Anda akan gagal.

Memahami hasil Anda

Jika Anda menyetel nilai SEVERITY ke CRITICAL|HIGH, setelah Pemindaian Sesuai Permintaan memindai kerentanan, pemindaian akan memeriksa apakah ada kerentanan di tingkat HIGH dan tingkat CRITICAL yang lebih parah. Jika tidak ada kerentanan yang cocok ditemukan di image Anda, build akan berhasil dan Cloud Build akan mengirimkan image Anda ke Artifact Registry.

Outputnya mirip dengan hal berikut ini:

DONE
--------------------------------------------------------------------------------------------------------------------------------------------

ID                                    CREATE_TIME                DURATION  SOURCE                                                                                         IMAGES                                                                        STATUS
abb3ce73-6ae8-41d1-9080-7d74a7ecd7bc  2021-03-15T06:50:32+00:00  1M48S     gs://ods-tests_cloudbuild/source/1615791031.906807-a648d10faf4a46d695c163186a6208d5.tgz  us-central1-docker.pkg.dev/ods-tests/ods-build-repo/ods-test (+1 more)  SUCCESS

Jika Pemindaian Sesuai Permintaan menemukan kerentanan HIGH atau CRITICAL dalam image Anda, langkah build scan akan gagal, langkah build berikutnya tidak akan dimulai, dan Cloud Build tidak akan mengirimkan image ke Artifact Registry.

Outputnya mirip dengan hal berikut ini:

Step #2 - "severity check": Failed vulnerability check
Finished Step #2 - "severity check"
ERROR
ERROR: build step 2 "gcr.io/cloud-builders/gcloud" failed: step exited with non-zero status: 1

Dalam tutorial ini, hasil Anda mungkin berbeda, karena kode sumber contoh adalah distribusi Linux yang tersedia untuk umum, debian10:latest. Distribusi Linux dan data kerentanan terkait menerima update secara berkelanjutan.

Untuk mempelajari alat dan praktik terbaik tambahan yang dapat membantu melindungi supply chain software Anda, lihat Keamanan supply chain software. Google Cloud

Untuk mengetahui informasi selengkapnya tentang praktik terbaik pengelolaan kerentanan Linux, Anda dapat menggunakan pelatihan online gratis yang disediakan oleh Linux Foundation. Lihat Mengembangkan Software yang Aman.

Pembersihan

Agar tidak perlu membayar biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource.

Menghapus project

  1. Di Konsol Google Cloud , buka halaman Manage resources.

    Buka Kelola resource

  2. Pada daftar project, pilih project yang ingin Anda hapus, lalu klik Delete.
  3. Pada dialog, ketik project ID, lalu klik Shut down untuk menghapus project.

Menghapus resource satu per satu

Sebelum menghapus repositori, pastikan semua image yang ingin Anda pertahankan tersedia di lokasi lain.

Untuk menghapus repositori:

Konsol

  1. Buka halaman Repositori di Google Cloud konsol.

    Buka halaman Repositori

  2. Dalam daftar repositori, pilih repositori ods-build-repo.

  3. Klik Hapus.

gcloud

Untuk menghapus ods-build-repo repositori, jalankan perintah berikut:

gcloud artifacts repositories delete ods-build-repo --location=us-central1

Langkah berikutnya