本页面介绍了如何查看有关您部署的容器映像的安全信息。您可以在控制台中 Cloud Deploy 的安全性数据分析侧 边栏中查看此信息。 Google Cloud
安全性数据分析 侧边栏提供了多个安全指标的概览。您可以使用此面板来识别和缓解您部署的映像中的风险。
此面板会显示以下信息:
SLSA 构建级别
漏洞
列出在制品中发现的所有漏洞。
VEX 状态
构建制品的 漏洞可利用性交流(VEX) 状态。
SBOM
构建详情
包含有关构建的信息。

要求
只有满足以下要求的容器映像才能查看安全性数据分析:
必须启用漏洞扫描。
必须在运行 Artifact Analysis 的项目中授予所需的 Identity and Access Management 角色。
-
如果映像显示在 Cloud Deploy 的制品 标签页中,但没有 SHA256 哈希,您可能需要重建该映像。
启用漏洞扫描
安全性数据分析 面板中显示的信息来自 Artifact Analysis,也 可能来自 Cloud Build。 Artifact Analysis 是一项服务,可为容器中的基本容器映像、Maven 和 Go 软件包以及非容器化的 Maven 软件包提供集成的按需或自动扫描。
如需接收所有可用的安全性数据分析,您必须启用漏洞扫描:
如需开启漏洞扫描,请启用所需的 API。
启用 API 所需的角色
如需启用 API,您需要拥有
serviceusage.services.enable权限。如果您创建了项目,则可能已通过所有者角色 (roles/owner) 拥有此权限。否则,您可以通过 Service Usage Admin 角色 (roles/serviceusage.serviceUsageAdmin) 获得此权限。了解如何授予角色。构建容器映像,并 将其存储在 Artifact Registry 中。 Artifact Analysis 会自动扫描构建制品。
漏洞扫描可能需要几分钟时间,具体取决于容器映像的大小。
如需详细了解漏洞扫描,请参阅 推送时扫描。
扫描需要付费。如需了解价格信息,请参阅价格页面 。
授予查看数据分析的权限
如需在 Cloud Deploy 中查看安全性数据分析,您需要拥有此处所述的 IAM 角色,或具有同等权限的角色。如果 Artifact Registry 和 Artifact Analysis 在不同的项目中运行,您必须在运行 Artifact Analysis 的项目中添加 Artifact Analysis Occurrences Viewer 角色或同等权限。
Cloud Build Viewer (
roles/cloudbuild.builds.viewer)查看构建的数据分析。
Artifact Analysis Viewer (
roles/containeranalysis.occurrences.viewer)查看漏洞和其他依赖项信息。
在 Cloud Deploy 中查看安全性数据分析
在 Google Cloud 控制台中打开 Cloud Deploy 交付流水线 页面:
如有必要,请选择包含流水线和版本的项目,该流水线和版本交付了您要查看其安全性数据分析的容器映像。
点击交付流水线的名称。
系统会显示交付流水线详情。
在“交付流水线详情”页面中,选择交付了容器映像的版本。
在“版本详情”页面中,选择制品 标签页。
构建制品 下列出了所选版本交付的容器。对于每个容器,安全性数据分析 列都包含一个查看 链接。

点击您要查看其安全详情的制品名称旁边的查看 链接。
系统会显示安全性数据分析 面板,其中显示了此制品的可用安全信息。以下部分将更详细地介绍此信息。
SLSA 级别
SLSA 是一套行业标准安全指南,适用于软件的生产者和消费者。此标准为软件的安全性建立了 四个级别的置信度 。
漏洞
漏洞 卡片显示了构建制品的漏洞发生实例、可用修复程序和 VEX 状态。
Artifact Analysis 支持扫描推送到 Artifact Registry的容器映像。扫描会检测操作系统软件包以及在 Python、Node.js、Java (Maven) 或 Go 中创建的应用软件包中的漏洞。
扫描结果按严重 级别进行整理。 严重级别是基于漏洞的可利用性、范围、影响和成熟度的定性评估。
点击映像名称即可查看已扫描漏洞的制品。
对于推送到 Artifact Registry 的每个容器映像,Artifact Analysis 都可以存储关联的 VEX 声明。VEX 是一种安全建议,用于指明产品是否受到已知漏洞的影响。
每个 VEX 声明都提供以下信息:
- VEX 声明的发布者
- 声明所针对的制品
- 任何 CVE 的漏洞评估(VEX 状态)
依赖项
依赖项 卡片会显示 SBOM 列表,其中包含依赖项列表。
当您使用 Cloud Build 构建容器映像并将其推送到 Artifact Registry 时,Artifact Analysis 可以为推送的映像生成 SBOM 记录。
SBOM 是应用的完整清单,用于标识软件所依赖的软件包。内容可以包括供应商的第三方软件、内部制品和开源库。
构建详情
构建详情包括以下内容:
指向 Cloud Build 日志的链接
构建映像的构建器的名称
构建日期/时间
JSON 格式的构建来源
后续步骤
试用快速入门:将应用部署到 GKE 并查看安全性数据分析
试用快速入门:将应用部署到 Cloud Run 并查看安全性数据分析
了解软件供应链安全最佳实践。
了解如何存储和查看构建日志。