צפייה בתובנות לגבי אבטחת בנייה

בדף הזה מוסבר איך לצפות במידע על האבטחה של תהליכי הבנייה שלכם ב-Cloud Build באמצעות חלונית הצד תובנות אבטחה במסוף Google Cloud .

בחלונית הצדדית תובנות בנושא אבטחה מוצגת סקירה כללית של כמה מדדי אבטחה. אפשר להשתמש בחלונית הצדדית כדי לזהות סיכונים בתהליך ה-build ולצמצם אותם.

בחלונית הזו מוצג המידע הבא:

• רמה של Supply-chain Levels for Software Artifacts‏ (SLSA): מציינת את רמת הבשלות של תהליך build של התוכנה בהתאם למפרט SLSA. לדוגמה, הגרסה הזו השיגה רמה 3 של SLSA.
• Vulnerabilities (נקודות חולשה): סקירה כללית של נקודות חולשה שנמצאו בארטיפקטים, ושם האימג' שנסרק על ידי Artifact Analysis. כדי לראות את פרטי הפגיעות, לוחצים על שם התמונה. לדוגמה, בצילום המסך אפשר ללחוץ על java-guestbook-backend.
• סטטוס של Vulnerability Exploitability eXchange‏(VEX) עבור הארטיפקטים שנוצרו.
• רשימת חומרים (SBOM) של התוכנה בשביל ארטיפקטים של הבנייה.
• פרטי גרסת ה-Build: פרטים של גרסת ה-Build, כמו הכלי ליצירת גרסת ה-Build והקישור לצפייה ביומנים.

כדי ללמוד איך אפשר להשתמש ב-Cloud Build עם מוצרים ותכונות אחרים Google Cloud כדי לשפר את רמת האבטחה של שרשרת האספקה של התוכנה, אפשר לעיין במאמר אבטחה של שרשרת האספקה של תוכנות.

הפעלת סריקת נקודות חולשה

בחלונית תובנות אבטחה מוצגים נתונים מ-Cloud Build ומ-Artifact Analysis. Artifact Analysis הוא שירות שסורק חולשות בחבילות של מערכת הפעלה, Java ‏ (Maven) ו-Go כשמעלים ארטיפקטים של בנייה ל-Artifact Registry.

כדי לקבל את כל התוצאות של תובנות אבטחה, צריך להפעיל סריקה של נקודות חולשה.

1. מפעילים את Container Scanning API כדי להפעיל את סריקת הפגיעויות.

   הפעלת Container Scanning API

2. מריצים גרסת build ומאחסנים את ארטיפקט ה-build ב-Artifact Registry. הכלי Artifact Analysis סורק באופן אוטומטי את ארטיפקטים של הבנייה.

סריקת הפגיעויות עשויה להימשך כמה דקות, בהתאם לגודל הבנייה.

מידע נוסף על סריקת פגיעויות זמין במאמר בנושא סריקה אוטומטית.

הסריקה כרוכה בתשלום. מידע על תמחור מופיע בדף התמחור.

איך נותנים הרשאות לצפייה בתובנות

כדי לראות את תובנות האבטחה ב Google Cloud מסוף, צריך את תפקידי ה-IAM הבאים או תפקיד עם הרשאות שוות ערך. אם Artifact Registry ו-Artifact Analysis פועלים בפרויקטים שונים, צריך להוסיף את התפקיד Container Analysis Occurrences Viewer או הרשאות שוות ערך בפרויקט שבו פועל Artifact Analysis.

• Cloud Build Viewer (roles/cloudbuild.builds.viewer): הצגת תובנות לגבי build.
• Container Analysis Occurrences Viewer (roles/containeranalysis.occurrences.viewer): View vulnerabilities and other dependency information.

הצגת חלונית הצדדית של תובנות האבטחה

כדי לראות את החלונית Security insights:

1. פותחים את הדף Build History במסוף Google Cloud :

   פתיחת הדף Build History

2. בוחרים את הפרויקט ולוחצים על פתיחה.

3. בתפריט הנפתח Region (אזור), בוחרים את האזור שבו הפעלתם את הבנייה.

4. בטבלה עם הגרסאות, מאתרים את השורה עם הגרסה שלגביה רוצים לראות תובנות בנושא אבטחה.

5. בעמודה תובנות לגבי אבטחה, לוחצים על הצגה.

   תיפתח החלונית הצדדית תובנות לגבי אבטחה.

6. [אופציונלי] אם הבנייה יוצרת כמה ארטיפקטים, בוחרים את הארטיפקט שרוצים לראות לגביו תובנות אבטחה מתיבת התפריט הנפתח Artifact.

   

   כאן מוצגת החלונית תובנות בנושאי אבטחה לגבי הארטיפקט שנבחר.

רמת SLSA

רמת ה-SLSA מדרגת את רמת אבטחת הבנייה הנוכחית על סמך אוסף של הנחיות.

נקודות חולשה

בכרטיס Vulnerabilities מוצגים מקרים של נקודות חולשה, תיקונים זמינים וסטטוס VEX של ארטיפקטים של בנייה.

Artifact Analysis תומך בסריקה של קובצי אימג' של קונטיינרים שהועברו אל Artifact Registry. הסריקות מזהות פגיעויות בחבילות של מערכת ההפעלה ובחבילות של אפליקציות שנוצרו ב-Java‏ (Maven) או ב-Go.

התוצאות של הסריקה מאורגנות לפי רמת חומרה. רמת החומרה היא הערכה איכותית שמבוססת על מידת הניצול, ההיקף, ההשפעה והבגרות של הפגיעות.

לוחצים על שם התמונה כדי לראות את הארטיפקטים שנסרקו לאיתור פגיעויות.

לכל קובץ אימג' של קונטיינר שנדחף אל Artifact Registry, ‏ Artifact Analysis יכול לאחסן הצהרת VEX משויכת. VEX הוא סוג של ייעוץ בנושא אבטחה שמציין אם מוצר מושפע מנקודת חולשה ידועה.

כל הצהרת VEX כוללת:

• הגורם שפרסם את הצהרת VEX
• הארטיפקט שלגביו נכתב ההצהרה
• הערכת נקודות החולשה (סטטוס VEX) לכל נקודות החולשה הידועות

תלויות

בכרטיס Dependencies (תלויות) מוצגת רשימה של SBOM עם רשימה של תלויות.

כשיוצרים קובץ אימג' של קונטיינר באמצעות Cloud Build ומעבירים אותו בדחיפה ל-Artifact Registry, שירות Artifact Analysis יכול ליצור רשומות SBOM עבור קובצי האימג' שהועברו בדחיפה.

‫SBOM הוא מלאי מלא של אפליקציה, שמזהה את החבילות שהתוכנה שלכם מסתמכת עליהן. התוכן יכול לכלול תוכנות של צד שלישי מספקים, ארטיפקטים פנימיים וספריות קוד פתוח.

פיתוח פתרונות

כרטיס ה-Build כולל את הפרטים הבאים:

• יומנים – קישורים למידע ביומן הבנייה
• ‫Builder – שם הבנאי
• הושלם – הזמן שחלף מאז שהבנייה הושלמה
• מקור – מטא-נתונים שאפשר לאמת לגבי גרסת build

המטא-נתונים של ה-Provenance כוללים פרטים כמו הגיבובים של התמונות שנבנו, מיקומי מקור הקלט, שרשרת הכלים של ה-build, שלבי ה-build ומשך ה-build. אפשר גם לאמת את מקורות המידע של הבנייה בכל שלב.

כדי לוודא שהגרסאות הבאות שלכם יכללו מידע על מקורות, צריך להגדיר את Cloud Build כך שהתמונות יכללו מטא-נתונים של מקורות.

המאמרים הבאים

• מידע נוסף על אבטחת שרשרת אספקת התוכנה
• שיטות מומלצות לאבטחת שרשרת האספקה של תוכנות
• איך מאחסנים וצופים ביומני בנייה
• איך פותרים בעיות שקשורות לבנייה