בדף הזה מוסבר איך לראות את התובנות לגבי אבטחת שרשרת אספקת התוכנה של גרסה נבחרת ב-Cloud Run, ומוצגים פרטים קצרים שיעזרו לכם להבין מה אפשר ללמוד מהמידע הזה על מצב האבטחה של הגרסה.
במאמר אבטחה בשרשרת האספקה של תוכנות מוסבר איך אפשר להשתמש ב-Cloud Run עם מוצרים ותכונות אחרים של Google Cloud Google כדי לשפר את מצב האבטחה של שרשרת האספקה של התוכנות.
לפני שמתחילים
כדי לסרוק מאגר תגים, צריך להפעיל את Container Scanning API.
ההרשאות הנדרשות
כדי לראות את תובנות האבטחה, אתם צריכים את התפקידים הבאים:
- Artifact Analysis Occurrences Viewer
- בעל הרשאת צפייה ב-Cloud Run
צפייה בתובנות לגבי אבטחה
לוחצים על השירות שרוצים לראות כדי לפתוח את הדף פרטי השירות.
לוחצים על הכרטיסייה גרסאות קודמות ובוחרים את הגרסה הרצויה.
בחלונית הפרטים בצד שמאל, לוחצים על הכרטיסייה אבטחה.
מאתרים את הקטע תובנות לגבי אבטחה. בקטע הזה מוצג דירוג הפגיעות הנוכחי ופרטים נוספים שקשורים לגרסה שנבחרה. מידע נוסף על הפרטים האלה זמין בקטע הסבר על תובנות לגבי אבטחה.
הסבר על תובנות בנושא אבטחה
בקטע תובנות לגבי אבטחה מוצגים הפרטים הבאים:
- רמה של Supply-chain Levels for Software Artifacts (SLSA): מציינת את רמת הבשלות של תהליך build של התוכנה בהתאם למפרט SLSA. מידע נוסף זמין באתר SLSA .
- נקודות חולשה: סקירה כללית של נקודות חולשה שנמצאו בארטיפקטים, ושם האימג' שנסרק על ידי Artifact Analysis. כדי לראות את פרטי הפגיעות, לוחצים על שם התמונה.
- פרטי בנייה: פרטים של הבנייה, כמו הכלי לבנייה והקישור לצפייה ביומנים.
- אישור המקור של Build: Provenance ל-Build.
המאמרים הבאים
- כדי להשיג רמות גבוהות יותר של SLSA, מומלץ להגדיר פריסה רציפה.
- דוגמה לפריסה של שירות Cloud Run והסבר על תובנות האבטחה של השירות הזה מופיעים במדריך לתחילת העבודה בנושא אבטחת שרשרת אספקת התוכנה.