在 Cloud Deploy 中查看安全性数据分析

本页面介绍了如何查看有关您部署的容器映像的安全信息。您可以在控制台中 Cloud Deploy 的安全性数据分析侧 边栏中查看此信息。 Google Cloud

安全性数据分析 侧边栏提供了多个安全指标的概览。您可以使用此面板来识别和缓解您部署的映像中的风险。

此面板会显示以下信息:

 Google Cloud 控制台中的“安全洞见”面板

要求

只有满足以下要求的容器映像才能查看安全性数据分析:

  • 必须启用漏洞扫描。

  • 必须在运行 Artifact Analysis 的项目中授予所需的 Identity and Access Management 角色

  • 在创建版本时,映像的名称 必须符合SHA 标准

    如果映像显示在 Cloud Deploy 的制品 标签页中,但没有 SHA256 哈希,您可能需要重建该映像。

启用漏洞扫描

安全性数据分析 面板中显示的信息来自 Artifact Analysis,也 可能来自 Cloud Build。 Artifact Analysis 是一项服务,可为容器中的基本容器映像、Maven 和 Go 软件包以及非容器化的 Maven 软件包提供集成的按需或自动扫描。

如需接收所有可用的安全性数据分析,您必须启用漏洞扫描:

  1. 如需开启漏洞扫描,请启用所需的 API。

    启用 API 所需的角色

    如需启用 API,您需要拥有 serviceusage.services.enable 权限。如果您创建了项目,则可能已通过所有者角色 (roles/owner) 拥有此权限。否则,您可以通过 Service Usage Admin 角色 (roles/serviceusage.serviceUsageAdmin) 获得此权限。了解如何授予角色

    启用 API

  2. 构建容器映像,并 将其存储在 Artifact Registry 中。 Artifact Analysis 会自动扫描构建制品。

    漏洞扫描可能需要几分钟时间,具体取决于容器映像的大小。

如需详细了解漏洞扫描,请参阅 推送时扫描

扫描需要付费。如需了解价格信息,请参阅价格页面

授予查看数据分析的权限

如需在 Cloud Deploy 中查看安全性数据分析,您需要拥有此处所述的 IAM 角色,或具有同等权限的角色。如果 Artifact Registry 和 Artifact Analysis 在不同的项目中运行,您必须在运行 Artifact Analysis 的项目中添加 Artifact Analysis Occurrences Viewer 角色或同等权限。

在 Cloud Deploy 中查看安全性数据分析

  1. 在 Google Cloud 控制台中打开 Cloud Deploy 交付流水线 页面:

    打开“交付流水线”页面

  2. 如有必要,请选择包含流水线和版本的项目,该流水线和版本交付了您要查看其安全性数据分析的容器映像。

  3. 点击交付流水线的名称。

    系统会显示交付流水线详情。

  4. 在“交付流水线详情”页面中,选择交付了容器映像的版本。

  5. 在“版本详情”页面中,选择制品 标签页。

    构建制品 下列出了所选版本交付的容器。对于每个容器,安全性数据分析 列都包含一个查看 链接。

    “发布版本详细信息”工件标签页,其中包含用于查看安全性分析洞见的链接。

  6. 点击您要查看其安全详情的制品名称旁边的查看 链接。

    系统会显示安全性数据分析 面板,其中显示了此制品的可用安全信息。以下部分将更详细地介绍此信息。

SLSA 级别

SLSA 是一套行业标准安全指南,适用于软件的生产者和消费者。此标准为软件的安全性建立了 四个级别的置信度 。

漏洞

漏洞 卡片显示了构建制品的漏洞发生实例、可用修复程序和 VEX 状态。

Artifact Analysis 支持扫描推送到 Artifact Registry的容器映像。扫描会检测操作系统软件包以及在 Python、Node.js、Java (Maven) 或 Go 中创建的应用软件包中的漏洞。

扫描结果按严重 级别进行整理。 严重级别是基于漏洞的可利用性、范围、影响和成熟度的定性评估。

点击映像名称即可查看已扫描漏洞的制品。

对于推送到 Artifact Registry 的每个容器映像,Artifact Analysis 都可以存储关联的 VEX 声明。VEX 是一种安全建议,用于指明产品是否受到已知漏洞的影响。

每个 VEX 声明都提供以下信息:

  • VEX 声明的发布者
  • 声明所针对的制品
  • 任何 CVE 的漏洞评估(VEX 状态)

依赖项

依赖项 卡片会显示 SBOM 列表,其中包含依赖项列表。

当您使用 Cloud Build 构建容器映像并将其推送到 Artifact Registry 时,Artifact Analysis 可以为推送的映像生成 SBOM 记录。

SBOM 是应用的完整清单,用于标识软件所依赖的软件包。内容可以包括供应商的第三方软件、内部制品和开源库。

构建详情

构建详情包括以下内容:

  • 指向 Cloud Build 日志的链接

  • 构建映像的构建器的名称

  • 构建日期/时间

  • JSON 格式的构建来源

后续步骤